背景
普林斯顿大学的研究人员开发出一款PoC app,即使手机上的其它app并未访问手机GPS数据并且用户已关闭GPS服务,也能追踪到全球用户。研究人员表示,即使关闭GPS也能追踪用户的原因在于,现代手机上都配有大量准确的传感器,它们能追踪如高度图和天气数据佐证的大量数据并借此重构用户的移动轨迹。
研究人员创建PinMe app
为了证明这种攻击的可能性,研究团队创建了PinMe app并将它们安装在三个测试主体的手机上:Galaxy S4 i9500、iPhone 6 和 iPhone 6S。PinMe app无需访问测试主体的GPS数据就能重构他们的运动轨迹。
首先,这款app会收集用户的IP地址和WiFi 连接信息并查看它是否存在于WiFi 网络的公共数据库中,从而判断出常规时间间隔中用户手机所处的大概位置。随后PinMe app用来自陀螺仪、加速计和高度传感器中的数据来追踪主体移动的速度有多快、他们出行的方向、主体停止移动的时间以及当前的海拔高度。然后,PinMe app累积这些数据并通过一种预先训练的算法判断用户的出行方式(步行、驾车、乘火车或乘飞机)。
通过公开数据检测用户地址位置
PinMe 判断出用户的起始位置和出行方式后,它会通过可公开访问的地图来画出用户的路径。例如,PinMe 使用了OpenStreetMap 公开导航地图和谷歌和美国地理调查 (US Geological Survey) 的高度地图。另外,PinMe 也使用传感器的温度、湿度和气压读数等数据与“天气频道”中的报告数据比对来验证并改善之前的发现成果。
研究人员指出,PinMe app成功通过从费城飞到达拉斯的测试,方法是读取高度和加速数据、手机钟表的时区设置、两个机场中的天气设置以及比对预测的飞行时间轴和公开的飞行时间表。研究人员还指出,这款app并非完美无瑕。例如,如果用户在移动设备上装了 Tor,那么就无法足够准确地追踪到用户的地理位置。另外,PinMe app的问题还包括无法描绘出街道、而且如果所挖掘到的公开记录遭损坏的话,追踪也不准确。
系统可用作备份GPS网络
研究人员指出,他们的目的是为了向用户展示,如果失去对手机传感器控制,将会面临的安全隐患。
研究人员希望智能操作系统制造商能够将他们的研究成果也作为考量因素之一,并且增加传感器的 “打开/关闭” 功能,从而阻止app 访问信息,类似于目前阻止app 访问GPS信息的权限系统。另外,研究人员还表示可通过研究工作背后的原理创建替代当前基于GPS的导航系统,作为现代汽车、轮船和其它交通方式的备份 GPS 网络。
发表评论
您还未登录,请先登录。
登录