系统后门,软件 bug,抑或浏览器 Cookies 都可能令我们的私隐遭到泄露,但是比起这篇文章的主角,以上几位实在太弱。
我们不妨先玩一个游戏,用你的智能手机登入这个网页,然后按照上面的指引完成这个游戏:先让你的手机屏幕朝上在桌面上平放,直到屏幕红色字出现,再将手机屏幕朝下放回桌面,一分钟内你再拿起你的手机。
恭喜你,你的手机已经被成为 “锁定” 了。
扯?可真不是。请容我解释一下,当中的答案可能会稍让各位意外:这个陷阱利用了我们智能手机上都有的一个部件——加速度感应器(accelerometer)。
所幸,这个网页只是斯坦福大学的一个名为 Sensor ID 的实验项目,但当中的理念却值得我们警惕。在上述实验过程中,我们的手机之所以被成功锁定,是利用到加速感应器上的一个天生“缺陷”。在美国《旧金山记事报》的采访中,斯坦福大学安全实验室的专家 Hristo Bojinov 表示,他的团队已对手机传感器安全问题进行了一年的研究,并将在一个月后将成果发表。
其实,目前手机上广泛使用的加速感应器,大规模量产多少会导致个体会存在误差,而这个误差值就如人的指纹一样,是独一无二的。
比如像之前实验中手机向上平放在桌面上,理论上这时加速感应器只受到地心引力的影响,那么数值将显示为 “1”。但是因为每一块感应器存在误差(如 0.9627848),这时候只要利用另一个参考值,如之前实验中将手机向下平放在桌面上时,也得出另一个有误差的数(如 1.0228722),如此类推,就能通过一组数值推算出这部手机的 “独特性” 了。当然,实际的算法将更加复杂。
和其他漏洞有别的是,加速感应器被广泛应用在各个领域。包括只要在浏览器中加入一段 Javascript 代码,有心人就能通过搜集这些感应器数据,轻松实现对用户的追踪,或用作商业用途。
更何况,类似的追踪技术并不局限于加速感应器。Bojinov 还表示,除了利用加速感应器,手机的扬声器与麦克风之间形成的“频率反射弧(frequency response curve)”,也能被利用来跟踪手机用户。
除此之外,德国的德累斯顿工业大学(Technical University of Dresden)的一支研究团队,也研究出利用手机信号,从放大器、震荡器及信号合成器上找到当中独一无二的误差,从而锁定手机。
离我们更接近的例子,如 iPhone 5s 上的 M7,也有媒体担忧其会成为另一个数据聚集来源。
从之前的 Cookies,到现在的手机应用,都是网络营销公司十分看重的肥肉。后者往往更能收集到手机的位置、联系人列表、甚至照片,如果现在还加上手机的各种零件、传感器加入 “情报泄露” 的行列,作为用户,实在防不胜防。
Bojinov 相信,至少在网络营销行业,已经有公司在研究通过传感器、内部零件 “绝对误差” 追踪手机用户的方法,“如果要说现在还没有人这么做,才让我感到惊讶”,他表示。
无可避免地,我们的行踪总有一日会被这些 “电子指纹” 出卖,这也有可能成为网络营销下一轮新增长点。
甚至说不定将来有人被盯上了,他只要从口袋里拿出手机,其个人资料就会出现在某黑客的屏幕上了。
1984。
题图来自:Flickr