據國外《連線》媒體報導,哪怕是已經確立的行業標準,如,藍芽和WPA2 Wi-Fi安全協議,近幾個月都曾被曝光存在漏洞和不完備之處,這已引發負面影響、甚至可能造成破壞性後果。由於缺乏統一的架構和執行標準,一些無線通訊技術,如,超聲波通訊技術,存在著不容忽視的隱患。
裝置跟蹤這一用途讓超聲波技術壞了名聲。在裝置跟蹤過程中,該技術讓一些應用得以訪問使用者的智慧手機,並收聽廣告、網站、甚至實體店中出現的無聲“信標”。近日在舊金山舉辦的RSA安全會議中,研究者分享了超聲波通訊技術的現狀以及隱患。
加州大學聖芭芭拉分校的移動和網路安全研究者喬瓦尼·維格納(Giovanni Vigna)和倫敦大學學院博士研究員瓦西利奧斯·馬維魯迪斯(Vasilios Mavroudis)表示,由於一些隱私監督機構提出的強烈抗議以及數年前美國聯邦貿易委員會發起的一次有力調查,超聲波用於跨裝置跟蹤的現象並未廣泛出現,但當然也尚未徹底杜絕。這類技術已越來越多地用於各種位置服務:在裝置足夠接近時,超聲波技術讓應用得以監聽特定發射波段的信標並向使用者推送通知,提示與當前位置相關的服務或內容。這類方法的目標是徒步旅行者和博物館參觀者,旨在為他們提供資訊,以促進體育場館等場所的售票業務。
維格納和馬維魯迪斯認為,這些推送通知的做法並不像下類做法那樣赤裸裸地侵犯隱私:悄悄跟蹤裝置一段時間、收集裝置主人的資訊以建立不同使用者的概況。相反,當選擇下載使用超聲波技術的位置型應用時,使用者能夠更直接地瞭解該應用的功能。但研究者指出,目前超聲波技術存在的問題不在於它們用於無線通訊的現況,而在於這些技術還不夠成熟。每家公司都擁有自己的編碼版本,並開發了超聲波通訊的不同執行方案。我們無法確保這些不同版本的技術都能夠保障使用者的隱私和安全。
維格納指出,“這項技術的真正價值在於,無需任何特定的網路設定。它實際上依賴於一種物理現象,並且能夠從物理層面建立連線。對於物聯網來說,這或許很重要,因為有時候會面臨無法穿越牆壁等障礙物的問題。然而,超聲波通訊完全不需要核驗,這會導致混亂。此外臨時發起的特性也讓這類技術的執行存在一定漏洞。不統一標準的話,風險恐怕只會越來越嚴重。”
在過去的超聲波通訊研究中,馬維魯迪斯得出的結論是,最迫切需要解決的潛在風險在於,目前該行業並未對能夠接收超聲波訊號的應用施加限制。舉例而言,如果一個應用能夠自由訪問裝置的麥克風資料,那麼這一應用只能訪問超聲波資訊嗎?它不會得寸進尺地監聽使用者所做的一切?對此,使用者只能選擇相信,別無他選。類似地,在裝置處於飛航模式時,一些採用超聲波技術的應用將繼續從使用者的麥克風收集並儲存資料,並在裝置恢復聯網時,把資料發回網路伺服器。其他服務和應用並不會這麼做。由於超聲波技術的標準不統一,使用者很難跟蹤到超聲波服務是如何執行的。
但超聲波技術的用途不僅限於此。作業系統可利用超聲波通訊技術執行一種以統一方式約束外來訪問的應用程式設計介面(API)。而且,按理想化的設想,這種機制最終將超越個人生態系統成為適用於整個行業的標準,類似Wi-Fi和藍芽技術的演化歷程。
研究者指出,谷歌尤其值得一提,因為它在這方面一直領先。谷歌針對Android和iOS開發了名為Google Nearby的API。該平臺具有安全和靈活的特點,併為信標格式和合作夥伴整合了操作標準。Google Nearby也把超聲波技術融入到現有的無線標準中。除了Android上的應用(如,美國聯合航空公司和藥品零售商CVS的娛樂和照片服務),Google Nearby也被納入電視棒Chromecast等智慧家居裝置中。
馬維魯迪斯指出,“很難控制人們將如何使用這類技術,但Google Nearby確實邁出了正確的一步。不過,仍有許多公司正在開發自己的框架,我不希望看到谷歌在這方面佔據壟斷地位。如果每個人都能基於一個行業標準來構建自己的解決方案,這類技術將發展得更好。”
令研究者感到寬慰的是,目前,超聲波跨裝置追蹤這一用途中似乎並未廣泛出現。但總體而言,各個公司正為超聲波技術摸索越來越多與位置相關的用途,並加以實施。如果該行業不展開廣泛合作以確立穩固的標準,超聲波服務很快將成為一個巨大的安全和隱私問題。
來源:網易科技