無線安全隱患分析：使用者位置隱私曝光

本文講的是 :  無線安全隱患分析：使用者位置隱私曝光  ,【IT168 編譯】雖然消費者和員工通常都知道他們的移動裝置會頻繁傳送資料到網際網路，但大多數人不瞭解隨身攜帶始終聯網的裝置的風險。美國威斯康星大學麥迪遜分校法律系學生和安全研究員使用廉價感測器建立了一個監控系統，來追蹤使用智慧手機和其他無線裝置的使用者。這個CreepyDOS系統使用散佈在各處的感測器來監聽無線通訊，它可以追蹤任何使用具有無線功能的移動裝置的人。

　　安全諮詢公司Malice Afterthought的創始人Brendan O`Connor創造了這個系統，他表示：“即使你不連線到無線網路，你通過有線連線，我們也能夠找到你。如果你在城市中，我們肯定能找到你，並且成本非常低。”

　　雖然很多隱私活動家都專注於谷歌和其他網際網路公司收集的大量資料，以及美國安全域性廣泛收集的後設資料，但CreepyDOL系統讓我們意識到，“物聯網”的快速發展讓這種資料隱私問題更加嚴重了。

　　應用安全公司Veracode技術長Chris Wysopal表示，“這將完全失去控制，但我們必須接受，這是我們將要面對的未來，每個人都可以跟蹤任何人，除非有法律禁止。”

　　O`Connor建立了一個一次性感測平臺，這些平臺被空投到目標地區的建築物的屋頂上。這種平臺被稱為F-BOMB，成本不到60美元，兩節AA電池可以讓它持續使用五天或者更多天。這種感測器通過無線命令和控制協議(被稱為Reticle)來互相連線，O`Connor建立這種協議來連線到開放無線網路，並使用Tor匿名網路來傳送資料和接收命令。

　　這兩種技術會爭奪通訊，還會加密關於其他節點的資訊，這使得取證很難進行。即使CreepyDOL節點被發現，他們都不可能獲得關於攻擊者的資訊。

　　該系統會監聽來自正在搜尋無線網路的智慧手機傳送的控制訊號。任何具有無線功能的智慧手機和平板電腦都會偶爾傳送自己的資訊到網路。此外，如果智慧手機連線到一個開放的無線網路中，感測器就可以竊聽，很多移動應用程式傳送很多純文字資料，這可以讓攻擊者獲取更多關於使用者的資訊。

　　最後，O`Connor使用一種流行的3-D圖形引擎來追蹤使用者的行蹤以及關於使用者的額外的資訊。這名安全研究人員建立了多個過濾器來獲取資料，以及將資料轉化為關於使用者的有效資訊。這些感測器並不會傳送任何資料，只會監聽以純文字傳送的資料。

　　雲端計算安全公司Qualys技術長Wolfgang Kandek表示，隨著移動裝置的普及(這些移動裝置不斷“廣播”關於使用者的資訊)，我們相信，試圖利用這些公開訪問訊號的系統將會越來越多。無線技術正在嵌入到更多的裝置中(從運動監控器到自行車把手)，這將使日常活動監控更加容易。

　　他表示：“隨著裝置的普及，這種感測器資料將會暴漲。”

　　O`Connor表示，人們在擔心谷歌和美國國家安全域性的同時，也應該關注他們隨身攜帶的易於跟蹤的感測器系統。

原文釋出時間為：2015年7月6日

本文作者：鄒錚

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :無線安全隱患分析：使用者位置隱私曝光