陈根:从互联网到物联网,隐私泄露从未缺席


陈根:从互联网到物联网,隐私泄露从未缺席文章插图
投稿来源:陈根
无处可逃 , 就是我们在从互联网到物联网时代下共同面临的困境 。
得益于5G通信技术的发展 , 海量机器类通信和低时延、高可靠通信的移动物联网场景成为现实 。 从高速率传输支持“万屏互联” , 到数以万亿的传感器被嵌入社会的各个角落 , 物联网正以“连接一切”的属性引发新时代的数据核爆 。
就在物联网技术给人们提供便利和高效并且迅猛发展的另一边 , 物联网安全性也持续地受到质疑 。 数据攻击和信息泄露等事件的频发 , 让物联网带来的不安全问题逐渐凸显 , 也令越来越多人感受到惶恐和不安 。
隐私泄露 , 有多少种实现可能?
今年9月 , 国家网络安全宣传周期间发布《App安全意识公众调查问卷报告》 。 报告显示 , 32万名受访者中 , 近三分之一的人表示很反感App的精准推送广告行为 , 感觉遭到了窥探或偷听 。
事实是 , 任何涉及到信息来往的平台 , 从婚介到外卖物流 , 从考试到家政服务 , 从购票到银行保险 , 只要人们在赛博空间中留下了数字足迹 , 就有可能被大数据捕捉并分析利用 。 而这种个人在互联网上无处可逃的不安全感却并非新近的困境 。
早在两年前 , 坊间就有App偷拍偷录的传言 。 首当其冲的是QQ浏览器和百度输入法 。 彼时 , vivo Nex手机的前置摄像头藏于手机内部 , 只有调用时才会升起 , 而用户使用QQ浏览器时会明显看到摄像头模块的开启 。 同时 , 在百度输入法界面没有进行任何操作时 , 手机也会提示正在录音 。
尽管QQ浏览器和百度输入法分别解释称 , 没有私自调取用户的录音和拍照功能 , 而是由于某些网站读取摄像头参数、输入法进行语音麦克风预热优化导致 , 但喧嚣并未就此散去 。
除了对启用手机窃听功能 , 直接或间接获取用户数据、完善用户画像的数据来源还有是用户的个人资料和浏览数据 , 包括搜索记录、各个页面的停留时长、从哪个页面进入哪个页面等 , 从而为用户建立起一套包含多个标签的画像 。
尽管这套标签体系的形成很可能极为复杂 , 但嵌入在App内的SDK(软件开发工具包)作为App内提供特定功能或服务的插件 , 却为对智能手机用户的窥探和数据窃取提供了便利 。 SDK的意义在于 , 当开发者需要调用某项功能时 , 不需要从头自行开发 , 只需要接入SDK即可 。
比如 , 当App A和App B都采取了同一家广告SDK时 , 那么A和B内收集的数据都可能上传至这一家SDK上 , A与B之间天然形成了数据共享 。 用户在A上的搜索记录和使用习惯有可能就会被反映在B上 。 这就是为什么当人们从浏览器搜索了某商品后 , 会被下一个电商平台获取需求并精准推送广告的原因 。
然而 , 互联网时代对于屏幕的隐私窥探和偷听还没结束 , 海量机器类通信和低时延、高可靠通信的移动物联网就裹挟下一波的安全风险汹涌而来 。 连接着“物”的物联网 , 除了用户主动交互产生的数据外 , 将用户的许多数据实时、无感地记录了下来 。 这让这一波安全风险则更隐蔽 , 也更广泛 。
近日 , 江苏省南京警方就摧毁了一条包括生产厂家、销售代理在内的生产销售定位、窃听、偷拍设备的网络黑色产业链条 , 抓获犯罪嫌疑人28名 , 缴获相关设备2000多个 。 警方调查发现 , 这些设备被生产者伪装成充电宝 , 可以在使用者不知情的情况下 , 被人远程定位、轨迹查询、远程录音等 , 涉嫌侵犯公民个人信息 。
此外 , 随着技术的进步 , 一些家用电器的联网都有可能成为窥探隐私的“作案工具” 。 2020年11月16-19日举行的国际无线传感器网络顶会ACM SenSys(国际计算机协会智能传感系统大会)上 , 就有一篇来自美国马里兰大学和新加坡国立大学的研究报告 。
论文中 , 研究团队成功远程入侵了一台家用扫地机器人 , 使其充当窃听器来“窃听”屋内的私人信息 。 这项研究表明 , 即使没有安装传统的“窃听器” , 不法分子也可以操纵家居设备来窃取他人信息 。
从互联网的APP隐私窥探 , 到家电的窃听攻击 , 这是一个重要的提醒:物联网智能感应设备的普及 , 也为私人对话与个人信息窃听提供了许多机会 。
从生产源头堵截风险发生
当前 , 物联网的威胁的源头往往指向了脆弱的物联网终端 , 在云、管、边安全的支撑下 , 以终端保护为核心的物联网安全防护体系亟待建立 。
从技术的角度来说 , 物联网终端的构建至少需要两种能力:终端的信息保护能力和云端对终端的异常分析能力 。 前者能保证终端在其自身的使用场景下 , 有一些方式可以保证终端信息的安全;后者能保证即便终端很难维护的场景中运行时 , 也能安全地将一些信息上传到管理平台 , 并能分析出终端的异常状态 。