2013年10月19日 星期六

我們將進入隨時被“電子指紋”出賣的時代 手機,手機平板,






系統後門,軟件bug,抑或瀏覽器Cookies 都可能令我們的私隱遭到洩露,但是比起這篇文章的主角,以上幾位實在太弱。

我們不妨先玩一個遊戲,用你的智能手機登入這個網頁,然後按照上面的指引完成這個遊戲:先讓你的手機屏幕朝上在桌面上平放,直到屏幕紅色字出現,再將手機屏幕朝下放回桌面,一分鐘內你再拿起你的手機。

恭喜你,你的手機已經被成為“鎖定” 了。

扯?可真不是。請容我解釋一下,當中的答案可能會稍讓各位意外:這個陷阱利用了我們智能手機上都有的一個部件——加速度感應器(accelerometer)。

所幸,這個網頁只是斯坦福大學的一個名為Sensor ID的實驗項目,但當中的理念卻值得我們警惕。在上述實驗過程中,我們的手機之所以被成功鎖定,是利用到加速感應器上的一個天生“缺陷 ”。在美國《舊金山記事報》的採訪中,斯坦福大學安全實驗室的專家Hristo Bojinov表示,他的團隊已對手機傳感器安全問題進行了一年的研究,並將在一個月後將成果發表。

其實,目前手機上廣泛使用的加速感應器,大規模量產多少會導致個體會存在誤差,而這個誤差值就如人的指紋一樣,是獨一無二的。 比如像之前實驗中手機向上平放在桌面上,理論上這時加速感應器只受到地心引力的影響,那麼數值將顯示為“1”。但是因為每一塊感應器存在誤差(如0.9627848),這時候只要利用另一個參考值,如之前實驗中將手機向下平放在桌面上時,也得出另一個有誤差的數(如1.0228722),如此類推,就能通過一組數值推算出這部手機的“獨特性” 了。當然,實際的算法將更加複雜。

和其他漏洞有別的是,加速感應器被廣泛應用在各個領域。包括只要在瀏覽器中加入一段Javascript 代碼,有心人就能通過蒐集這些感應器數據,輕鬆實現對用戶的追踪,或用作商業用途。

更何況,類似的追踪技術並不局限於加速感應器。Bojinov還表示,除了利用加速感應器,手機的揚聲器與麥克風之間形成的“頻率反射弧(frequency response curve)”,也能被利用來跟踪手機用戶。

除此之外,德國的德累斯頓工業大學(Technical University of Dresden)的一支研究團隊,也研究出利用手機信號,從放大器、震盪器及信號合成器上找到當中獨一無二的誤差,從而鎖定手機。

離我們更接近的例子,如iPhone 5s 上的M7,也有媒體擔憂其會成為另一個數據聚集來源。

從之前的Cookies,到現在的手機應用,都是網絡營銷公司十分看重的肥肉。後者往往更能收集到手機的位置、聯繫人列表、甚至照片,如果現在還加上手機的各種零件、傳感器加入“情報洩露” 的行列,作為用戶,實在防不勝防。

Bojinov相信,至少在網絡營銷行業,已經有公司在研究通過傳感器、內部零件“絕對誤差”追踪手機用戶的方法,“如果要說現在還沒有人這麼做,才讓我感到驚訝”,他表示。

無可避免地,我們的行踪總有一日會被這些“電子指紋” 出賣,這也有可能成為網絡營銷下一輪新增長點。

甚至說不定將來有人被盯上了,他只要從口袋裡拿出手機,其個人資料就會出現在某黑客的屏幕上了。



.我們將進入隨時被“電子指紋”出賣的時代 手機,手機平板,
http://digital1010.blogspot.com/2013/10/blog-post_994.html