細(xì)思極恐，麥克風(fēng)竊取用戶隱私背后技術(shù)是這個(gè)

MSCBSC訊4月20日消息，據(jù)國外《連線》媒體報(bào)道，哪怕是已經(jīng)確立的行業(yè)標(biāo)準(zhǔn)，如，藍(lán)牙和WPA2 Wi-Fi安全協(xié)議，近幾個(gè)月都曾被曝光存在漏洞和不完備之處，這已引發(fā)負(fù)面影響、甚至可能造成破壞性后果。由于缺乏統(tǒng)一的架構(gòu)和執(zhí)行標(biāo)準(zhǔn)，一些無線通信技術(shù)，如，超聲波通信技術(shù)，存在著不容忽視的隱患。

設(shè)備跟蹤這一用途讓超聲波技術(shù)壞了名聲。在設(shè)備跟蹤過程中，該技術(shù)讓一些應(yīng)用得以訪問用戶的智能手機(jī)，并收聽廣告、網(wǎng)站、甚至實(shí)體店中出現(xiàn)的無聲“信標(biāo)”。近日在舊金山舉辦的RSA安全會議中，研究者分享了超聲波通信技術(shù)的現(xiàn)狀以及隱患。

加州大學(xué)圣芭芭拉分校的移動(dòng)和網(wǎng)絡(luò)安全研究者喬瓦尼·維格納（Giovanni Vigna）和倫敦大學(xué)學(xué)院博士研究員瓦西利奧斯·馬維魯?shù)纤梗╒asilios Mavroudis）表示，由于一些隱私監(jiān)督機(jī)構(gòu)提出的強(qiáng)烈抗議以及數(shù)年前美國聯(lián)邦貿(mào)易委員會發(fā)起的一次有力調(diào)查，超聲波用于跨設(shè)備跟蹤的現(xiàn)象并未廣泛出現(xiàn)，但當(dāng)然也尚未徹底杜絕。這類技術(shù)已越來越多地用于各種位置服務(wù)：在設(shè)備足夠接近時(shí)，超聲波技術(shù)讓應(yīng)用得以監(jiān)聽特定發(fā)射波段的信標(biāo)并向用戶推送通知，提示與當(dāng)前位置相關(guān)的服務(wù)或內(nèi)容。這類方法的目標(biāo)是徒步旅行者和博物館參觀者，旨在為他們提供信息，以促進(jìn)體育場館等場所的售票業(yè)務(wù)。

維格納和馬維魯?shù)纤拐J(rèn)為，這些推送通知的做法并不像下類做法那樣赤裸裸地侵犯隱私：悄悄跟蹤設(shè)備一段時(shí)間、收集設(shè)備主人的信息以創(chuàng)建不同用戶的概況。相反，當(dāng)選擇下載使用超聲波技術(shù)的位置型應(yīng)用時(shí)，用戶能夠更直接地了解該應(yīng)用的功能。但研究者指出，目前超聲波技術(shù)存在的問題不在于它們用于無線通信的現(xiàn)況，而在于這些技術(shù)還不夠成熟。每家公司都擁有自己的編碼版本，并開發(fā)了超聲波通信的不同執(zhí)行方案。我們無法確保這些不同版本的技術(shù)都能夠保障用戶的隱私和安全。

維格納指出，“這項(xiàng)技術(shù)的真正價(jià)值在于，無需任何特定的網(wǎng)絡(luò)設(shè)置。它實(shí)際上依賴于一種物理現(xiàn)象，并且能夠從物理層面創(chuàng)建連接。對于物聯(lián)網(wǎng)來說，這或許很重要，因?yàn)橛袝r(shí)候會面臨無法穿越墻壁等障礙物的問題。然而，超聲波通信完全不需要核驗(yàn)，這會導(dǎo)致混亂。此外臨時(shí)發(fā)起的特性也讓這類技術(shù)的執(zhí)行存在一定漏洞。不統(tǒng)一標(biāo)準(zhǔn)的話，風(fēng)險(xiǎn)恐怕只會越來越嚴(yán)重。”

在過去的超聲波通信研究中，馬維魯?shù)纤沟贸龅慕Y(jié)論是，最迫切需要解決的潛在風(fēng)險(xiǎn)在于，目前該行業(yè)并未對能夠接收超聲波信號的應(yīng)用施加限制。舉例而言，如果一個(gè)應(yīng)用能夠自由訪問設(shè)備的麥克風(fēng)數(shù)據(jù)，那么這一應(yīng)用只能訪問超聲波信息嗎？它不會得寸進(jìn)尺地監(jiān)聽用戶所做的一切？對此，用戶只能選擇相信，別無他選。類似地，在設(shè)備處于飛行模式時(shí)，一些采用超聲波技術(shù)的應(yīng)用將繼續(xù)從用戶的麥克風(fēng)收集并存儲數(shù)據(jù)，并在設(shè)備恢復(fù)聯(lián)網(wǎng)時(shí)，把數(shù)據(jù)發(fā)回網(wǎng)絡(luò)服務(wù)器。其他服務(wù)和應(yīng)用并不會這么做。由于超聲波技術(shù)的標(biāo)準(zhǔn)不統(tǒng)一，用戶很難跟蹤到超聲波服務(wù)是如何運(yùn)行的。

但超聲波技術(shù)的用途不僅限于此。操作系統(tǒng)可利用超聲波通信技術(shù)運(yùn)行一種以統(tǒng)一方式約束外來訪問的應(yīng)用編程接口（API）。而且，按理想化的設(shè)想，這種機(jī)制最終將超越個(gè)人生態(tài)系統(tǒng)成為適用于整個(gè)行業(yè)的標(biāo)準(zhǔn)，類似Wi-Fi和藍(lán)牙技術(shù)的演化歷程。

研究者指出，谷歌尤其值得一提，因?yàn)樗�在這方面一直領(lǐng)先。谷歌針對Android和iOS開發(fā)了名為Google Nearby的API。該平臺具有安全和靈活的特點(diǎn)，并為信標(biāo)格式和合作伙伴整合了操作標(biāo)準(zhǔn)。Google Nearby也把超聲波技術(shù)融入到現(xiàn)有的無線標(biāo)準(zhǔn)中。除了Android上的應(yīng)用（如，美國聯(lián)合航空公司和藥品零售商CVS的娛樂和照片服務(wù)），Google Nearby也被納入電視棒Chromecast等智能家居設(shè)備中。

馬維魯?shù)纤怪赋觯�“很難控制人們將如何使用這類技術(shù)，但Google Nearby確實(shí)邁出了正確的一步。不過，仍有許多公司正在開發(fā)自己的框架，我不希望看到谷歌在這方面占據(jù)壟斷地位。如果每個(gè)人都能基于一個(gè)行業(yè)標(biāo)準(zhǔn)來構(gòu)建自己的解決方案，這類技術(shù)將發(fā)展得更好�！�

令研究者感到寬慰的是，目前，超聲波跨設(shè)備追蹤這一用途中似乎并未廣泛出現(xiàn)。但總體而言，各個(gè)公司正為超聲波技術(shù)摸索越來越多與位置相關(guān)的用途，并加以實(shí)施。如果該行業(yè)不展開廣泛合作以確立穩(wěn)固的標(biāo)準(zhǔn)，超聲波服務(wù)很快將成為一個(gè)巨大的安全和隱私問題。（惜辰）