我們不妨先玩一個遊戲,用你的智慧型手機登入這個網頁,然後按照上面的指引完成這個遊戲:先讓你的手機螢幕朝上在桌面上平放,直到螢幕紅色字出現,再將手機螢幕朝下放回桌面,一分鐘內你再拿起你的手機。恭喜你,你的手機已經被成為「鎖定」了。
系統後門,軟體 bug,抑或流覽器 Cookies 都可能讓我們的私隱遭到洩露,但是比起這篇文章的主角,以上幾位實在太弱。
我們不妨先玩一個遊戲,用你的智慧型手機登入這個網頁,然後按照上面的指引完成這個遊戲:先讓你的手機螢幕朝上在桌面上平放,直到螢幕紅色字出現,再將手機螢幕朝下放回桌面,一分鐘內你再拿起你的手機。
恭喜你,你的手機已經被成為「鎖定」了。
覺得很扯嗎?還真是不是。請容我們解釋一下,當中的答案可能會稍讓各位感到意外:這個陷阱利用了我們智慧型手機上都有的一個組件——加速感應器(accelerometer)。
所幸,這個網頁只是史丹佛大學的一個名為 Sensor ID 的實驗項目,但當中的理念卻值得我們警惕。在上述實驗過程中,我們的手機之所以被成功鎖定,是利用到加速感應器上的一個天生「缺陷」。在美國《舊金山記事報》的採訪中,史丹佛大學安全實驗室的專家 Hristo Bojinov 表示,他的團隊已對手機感測器安全問題進行了一年的研究,並將在一個月後將成果發表。
其實,目前手機上廣泛使用的加速感應器,大規模量產多少會導致個體會存在誤差,而這個誤差值就如人的指紋一樣,是獨一無二的。
比如像之前實驗中手機向上平放在桌面上,理論上這時加速感應器只受到地心引力的影響,那麼數值將顯示為「1」。但是因為每一個感應器存在誤差(如 0.9627848),這時候只要利用另一個參考值,如之前實驗中將手機向下平放在桌面上時,也得出另一個有誤差的數(如 1.0228722),如此類推,就能通過一組數值推算出這部手機的 「獨特性」 了。當然,實際的演算法將更加複雜。
和其他漏洞有別的是,加速感應器被廣泛應用在各個領域。包括只要在流瀏器中加入一段 Javascript 程式碼,有心人就能通過搜集這些感應器資料,輕鬆實現對針對使用者的追蹤,或用作商業用途。
更何況,類似的追蹤技術並不局限於加速感應器,Bojinov 還表示,除了利用加速感應器,手機的喇叭與麥克風之間形成的「頻率響應曲線(frequency response curve)」,也能被利用來跟蹤手機用戶。
除此之外,德國的德勒斯登科技大學(Technical University of Dresden)的一支研究團隊,也研究出利用手機信號,從放大器、震盪器及號訊合成器上找到當中獨一無二的誤差,從而鎖定手機。
離我們更接近的例子,如 iPhone 5s 上的 M7,也有媒體擔憂其會成為另一個資來源。
從之前的 Cookies,到現在的手機app,都是網路行銷公司十分看重的肥肉,後者往往更能收集到手機的位置、連絡人列表、甚至照片,如果現在還加上手機的各種零件、感應器加入「情報洩露」 的行列,作為使用者,實在防不勝防。
Bojinov 相信,至少在網路行銷行業,已經有公司在研究透過感應器、內部零件 「絕對誤差」追蹤手機用戶的方法,「如果要說現在還沒有人這麼做,才讓我感到驚訝」,他表示。
無可避免地,我們的行蹤總有一日會被這些「電子指紋」 出賣,這也有可能成為網路行銷下一輪新增長點。
甚至說不定將來有人被盯上了,他只要從口袋裡拿出手機,其個人資料就會出現在某駭客的螢幕上了。
1984。
留言列表