【猎云网(微信号:ilieyun
)】5月23日报道(编译:Panda)
几天前,我提醒我的妻子我所做的实验完全与性无关,免得她偷瞄我的手机。之后我安装了同性恋交友应用Grindr。我把头像设为一只猫,并且关掉了应用上的“显示距离”选项,这样做能隐藏我的位置。一分钟之后,我打电话给Nguyen Phong Hoang(日本京都的一名安全研究人员),我告诉了他我在布鲁克林的大体位置。对于我附近想要约会或是寻求艳遇的男人,我的猫脸照片都会出现在其手机应用上。
Hoang 用了不到15分钟就确定了我居住的十字路口。10分钟后,他发给我一张来自谷歌地图的截屏,他说:“我想这就是你的位置吧?”事实上,截图照片显示的就是我公寓的轮廓。
Hoang 说他的Grindr追踪方法便宜可靠,而且也适用于其它同性恋约会应用。在《计算机科学事务》杂志上周发表的一篇关于先进通信技术的论文中,Hoang 和其他两位京都大学的研究人员描述了他们追踪这些应用使用者位置的方法,并且他们能将用户的位置具体到几英尺远。
不同于之前的应用追踪方法,研究人员称即便用户在应用设置中隐藏了他们的位置,他们也照样可以对其进行定位。这种入侵手段的提高,对于那些尚未公开同性恋身份或是生活在歧视同性恋国家的用户而言,他们可能会无意间泄漏身份。Hoang说道:“你能很容易的揭露一个人。在美国这不成问题,但是在一些伊斯兰国家或是俄罗斯,信息泄露会非常严重。”
对于Grindr 应用和其1000多万用户而言,在隐私问题这个陈旧的话题上,京都大学的研究者们提供了一个新方法:所谓的三边测量术。如果Grindr 或类似的应用告诉你某人距你的距离,即便是你不知道这个人的具体方位,你也可以通过比较这个人附近的三个点的距离来确定其具体位置。
对于安全研究人员提出的这种风险,2014年末Grindr 给出的回应是在应用上提供“关闭距离测量”功能这一选项,并且对于那些有着暴力反抗同性恋记录的国家里的用户,Grindr默认关闭距离测量功能。Hornet 和 Jack’d 都具有隐藏用户间距离的选项,并且用户在受到三边测量术攻击时会收到语音提示。
不过,这一挥之不去的问题依然存在:这三款应用都会提供附近用户的照片。这会为三边测量术留下可乘之机。研究人员创建了两个假账户。通过调整这两个虚假用户的位置,研究人员就可以不断接近所要攻击Grindr用户的定位。借助于每一组虚假用户的数据,可以用一个小圆圈表示出目标位置。通过这样的三组数据,目标位置就可以缩小到一个几英尺的方块中。Hoang说道:“你画6个圆圈,6个圆圈的交叉区域就是目标所在地。”
Hornet 和Jack’d 的隐私保护方法与Grindr不同,但是它们也不能幸免于京都大学研究人员的攻击。Hornet声称可以保护用户的位置隐私,并且告诉京都大学的研究人员这款软件的新型保护方法能抵御他们的攻击。但是经过相对长一些时间的搜寻,Hoang还是找到了我的位置。而对于Jack’d,Hoang都无需借助于虚拟账户,他仅仅使用传统三边定位术就成功定位。
对此次研究, Grindr 的发言人写道:“ Grindr 非常重视用户的安全,并且我们致力于提升应用的安全性能。”Hornet 的首席技术官 Armand du Plessis 和Jack’d 的市场运营官都指出隐藏位置功能可以抵御位置追踪。但是这两家公司的模糊位置技术并未能抵御Hoang 的攻击。
京都大学研究人员的论文给出的建议仅限于如何解决位置问题。他们建议所有的应用都应该进一步隐藏用户位置,但是公司方面害怕这样做会使得用户数量减少,因而犹豫不决。
对于那些真的想保护自己隐私的人们,Hoang 给出的建议是:用户可以仅在安卓手机或是配备有GPS欺骗软件的手机上运行类似应用。就像 Jack’d指出的那样,用户可以避免在约会应用上露脸。不过即便如此,Hoang指出通过不断追踪某人的位置(通常借助于他们的住所或是工作地点)也可以揭示其身份。
除了位置泄漏问题外,京都大学的研究人员还在这些应用上发现了其它安全问题。Grindr 和Jack’d 都没有对用户名进行加密,如果在Wi-Fi网络下,这些敏感数据就会泄漏。Grindr甚至都没有对手机之间传送的照片进行加密。
这些漏洞和信息泄漏问题不仅局限于同性恋交友应用。Hoang 称团队专注于同性恋约会应用研究的部分原因是因为同性恋人群在网络监测中表现得更为脆弱。他们表示,这对于全球同性恋社区而言一点也不夸张,就像苹果公司公开承认同性恋身份的CEO蒂姆•库克去年所说:“隐私问题是一个生死攸关的问题。”
