手机关闭定位后仍会泄露你的位置

照片来源:盖蒂图片

一名美国军官最近措手不及。他的士兵的数字健康跟踪器存储在军事演习的地点，包括军事基地及其附近的位置，甚至是世界各地的秘密基地的位置。东北大学计算机和信息科学教授格瓦拉·努尔比尔和他的团队最近的一项研究揭示了即使用户关闭了他们的位置跟踪服务，移动电话如何在世界各地的商店和城市中跟踪用户。

该漏洞来自于手机上安装的各种传感器，不仅包括全球定位系统和通信接口，还包括陀螺仪和加速度计，它们可以知道手机是直立的还是侧向的，并测量手机的移动。手机上的应用程序可以使用这些传感器来执行用户无法预料的任务，比如跟踪用户在城市街道上的移动。

大多数人认为关闭移动定位服务会使各种移动监控程序停止服务。然而，Noubir和他的同事们对“旁道攻击”的研究表明，应用程序将绕过这些限制。这项研究揭示了手机如何通过听用户的指尖敲击来发现秘密密码，以及把手机放在他们的口袋里如何告诉数据公司你在哪里和你要去哪里。

在为设备或系统设计保护时，人们通常会假设会出现什么样的威胁。例如，汽车通常被设计成保护司机不与其他车辆、建筑物、道路护栏、电话亭和道路附近的其他物体相撞。同样，软件设计者想象黑客会做什么。但这并不意味着所有设备都是安全的。

Noubir说，第一次“侧钻攻击”可以追溯到1996年。密码学家保罗·科赫(Paul Kocher)说，他可以通过仔细测量电脑解锁加密信息的时间来解锁普通安全密码。

近年来，发生了许多其他各种各样的袭击。最近的甲类漏洞“崩溃”和“幽灵”是计算机处理器的设计缺陷，也属于“侧轨攻击”。这些攻击允许恶意应用程序窥探计算机内存中的其他数据。

移动设备是此类攻击的完美目标。Noubir说，他们装有传感器，通常包括至少一个加速度计，陀螺仪，磁力计，气压计和多达四个麦克风，两个相机和温度传感器，光传感器，湿度传感器等。

应用程序可以在没有用户许可的情况下打开大多数传感器。通过从两个或更多传感器获取读数，它可以做用户、手机设计者和应用程序开发者都没有预料到的事情。(冯伟伟)

中国科学新闻(2018-02-14，第二版国际)