酷播亮新聞
據國外《連線》媒體報導,哪怕是已經確立的行業標準,如,藍牙和WPA2 Wi-Fi安全協議,近幾個月都曾被曝光存在漏洞和不完備之處,這已引發負面影響、 甚至可能造成破壞性後果。 由於缺乏統一的架構和執行標準,一些無線通信技術,如,超聲波通信技術,存在著不容忽視的隱患。
(網絡配圖)
設備跟踪這一用途讓超聲波技術壞了名聲。 在設備跟踪過程中,該技術讓一些應用得以訪問用戶的智能手機,並收聽廣告、網站、甚至實體店中出現的無聲“信標”。 近日在舊金山舉辦的RSA安全會議中,研究者分享了超聲波通信技術的現狀以及隱患。
加州大學聖芭芭拉分校的移動和網絡安全研究者喬瓦尼·維格納(Giovanni Vigna)和倫敦大學學院博士研究員瓦西利奧斯·馬維魯迪斯(Vasilios Mavroudis)表示,由於一些隱私 監督機構提出的強烈抗議以及數年前美國聯邦貿易委員會發起的一次有力調查,超聲波用於跨設備跟踪的現象並未廣泛出現,但當然也尚未徹底杜絕。 這類技術已越來越多地用於各種位置服務:在設備足夠接近時,超聲波技術讓應用得以監聽特定發射波段的信標並向用戶推送通知,提示與當前位置相關的服務或內容。 這類方法的目標是徒步旅行者和博物館參觀者,旨在為他們提供信息,以促進體育場館等場所的售票業務。
維格納和馬維魯迪斯認為,這些推送通知的做法並不像下類做法那樣赤裸裸地侵犯隱私:悄悄跟踪設備一段時間、收集設備主人的信息以創建不同用戶的概況。 相反,當選擇下載使用超聲波技術的位置型應用時,用戶能夠更直接地了解該應用的功能。 但研究者指出,目前超聲波技術存在的問題不在於它們用於無線通信的現況,而在於這些技術還不夠成熟。 每家公司都擁有自己的編碼版本,並開發了超聲波通信的不同執行方案。 我們無法確保這些不同版本的技術都能夠保障用戶的隱私和安全。
維格納指出,“這項技術的真正價值在於,無需任何特定的網絡設置。它實際上依賴於一種物理現象,並且能夠從物理層面創建連接。對於物聯網來說,這或許很重要, 因為有時候會面臨無法穿越牆壁等障礙物的問題。然而,超聲波通信完全不需要核驗,這會導致混亂。此外臨時發起的特性也讓這類技術的執行存在一定漏洞。不統一標準的話,風險 恐怕只會越來越嚴重。”
在過去的超聲波通信研究中,馬維魯迪斯得出的結論是,最迫切需要解決的潛在風險在於,目前該行業並未對能夠接收超聲波信號的應用施加限制。 舉例而言,如果一個應用能夠自由訪問設備的麥克風數據,那麼這一應用只能訪問超聲波信息嗎? 它不會得寸進尺地監聽用戶所做的一切? 對此,用戶只能選擇相信,別無他選。 類似地,在設備處於飛行模式時,一些採用超聲波技術的應用將繼續從用戶的麥克風收集並存儲數據,並在設備恢復聯網時,把數據發回網絡服務器。 其他服務和應用並不會這麼做。 由於超聲波技術的標準不統一,用戶很難跟踪到超聲波服務是如何運行的。
但超聲波技術的用途不僅限於此。 操作系統可利用超聲波通信技術運行一種以統一方式約束外來訪問的應用編程接口(API)。 而且,按理想化的設想,這種機制最終將超越個人生態系統成為適用於整個行業的標準,類似Wi-Fi和藍牙技術的演化歷程。
研究者指出,谷歌尤其值得一提,因為它在這方面一直領先。 谷歌針對Android和iOS開發了名為Google Nearby的API。 該平台具有安全和靈活的特點,並為信標格式和合作夥伴整合了操作標準。 Google Nearby也把超聲波技術融入到現有的無線標準中。 除了Android上的應用(如,美國聯合航空公司和藥品零售商CVS的娛樂和照片服務),Google Nearby也被納入電視棒Chromecast等智能家居設備中。
馬維魯迪斯指出,“很難控制人們將如何使用這類技術,但Google Nearby確實邁出了正確的一步。不過,仍有許多公司正在開發自己的框架,我不希望看到谷歌在這 方面佔據壟斷地位。如果每個人都能基於一個行業標準來構建自己的解決方案,這類技術將發展得更好。”
令研究者感到寬慰的是,目前,超聲波跨設備追踪這一用途中似乎並未廣泛出現。 但總體而言,各個公司正為超聲波技術摸索越來越多與位置相關的用途,並加以實施。 如果該行業不展開廣泛合作以確立穩固的標準,超聲波服務很快將成為一個巨大的安全和隱私問題。