怎么在手机上监视对方位置(怎么能监视对方手机)
最近,美国军方突然爆料称,军人的电子健身器可以储存他们的训练场所——包括全世界的军事基地和各种秘密场所。这类电子设备范围很广,不局限于电子手表及其类似设备。美国东北大学(Northeastern University)计算机与信息技术专业教授格瓦拉·怒波尔(Guevara Noubir)及其研究伙伴最近的研究表明,即使关闭定位服务,手机也可以通过用户逛过的商场、旅游的城市来获取他们的位置信息。
造成这个漏洞的原因是手机配备的各种传感器,除了全球定位系统(Global Positioning System,GPS)和通信接口,还有陀螺仪和加速计,它们可以测定手机是直立的或者水平的,还可以测量其他运动参数。手机上的应用程序可以利用这些传感器来获取用户隐私信息,例如追踪用户在城市街道上的运动数据。
大多数用户都希望关掉手机的位置服务,从而使这种移动监视功能失效。但是,格瓦拉·怒波尔和他的合作伙伴肯·布洛克(Ken Block)等人最近在研究“旁路攻击”(side-channel attacks)时发现了应用程序避开这些手机权限的方式。格瓦拉团队不仅证明了手机能够通过用户的手指输入方式获取密码,还可以简单到只需要把手机放在口袋里面就能够获取用户的公司数据和导航习惯。
假设攻击
当为设备或软件设计防护系统时,设计师会对其将受到的威胁做出假设。例如,汽车的安全系统是为了保护乘客免遭与其他汽车、建筑物、护栏、电线杆和其他在道路上或道路附近的物体发生碰撞,而不是为了让人们从悬崖上摔下来或者被巨大石块砸中的时候还能够保证安全。针对这些极端威胁而去设计防御措施是不合算的,因为它们被认为是极其少见的。
同样,设计手机软件和硬件的人也会对黑客做出的攻击进行假设,这并不意味着手机是安全的。1996年,密码学家保罗·克歇尔(Paul Kocher)发现了第一次“旁路攻击”,他声称可以通过仔细计算计算机解密-加密信息所需的时间来打破当时流行的和所谓安全的密码系统。密码系统设计者并没有想到攻击者会采取这种方法,所以他们的系统很容易受到攻击。另外,利用计算机处理器设计缺陷漏洞对电脑进行攻击也属于“旁路攻击”的一种。它们能够利用病毒软件窃取计算机内存中其他应用程序的数据。
“悄悄存在”的监控系统
移动设备是“旁路攻击”的完美目标。它们内部布满传感器,通常包括一个加速计、陀螺仪、磁力计、气压计,四个麦克风,一个或两个摄像头,一个温度计,一个计步器,一个光传感器和一个湿度传感器。
展开全文
应用程序可以在不需要用户许可的情况下访问大多数传感器。通过将两台或更多设备的数据相结合,用户、手机设计人员和应用程序创建人员最初没有想到的事情就可能会发生——信息泄露。
格瓦拉团队最近开发了一个应用程序,它可以在无需读取键盘输入的情况下,确定用户在手机屏幕键盘上输入了什么字母,这个应用程序需要结合手机陀螺仪和麦克风的数据信息。
目前,大部分手机中都装有三轴微机械陀螺仪(three-axis micromechanical gyroscopes),当用户点击屏幕上的不同位置时,手机本身的旋转方式可以被其测量。此外,在手机屏幕上点击会产生声音,这些声音可以记录在每部手机的多个麦克风上。当点击靠近屏幕中心的位置时,手机不会移动太多,声音可以同时到达两个麦克风中,并且对于所有麦克风来说听起来大致相同。但是,轻击屏幕左下角会使手机左右旋转,声音会更快地到达左侧的麦克风,在屏幕底部附近的麦克风听起来更响,而设备上其他地方的麦克风会更安静。
当把手机旋转数据和声音数据综合处理时,就可以确定用户按下了什么按键,而且准确率达到90%以上。类似功能可以巧妙地添加到任何应用程序中,并且在手机运行中不被用户发现。
获取位置信息
那么,恶意应用程序是如何做到能够准确获取用户的行踪信息,包括他们的生活和工作地点以及旅行路线的呢?
格瓦拉团队对其进行了研究。他们猜想是否可以在不需要用户许可的情况下,只通过传感器就能够获取位置信息。比如,司机所走的路线可以简化成一系列的转弯,每个转弯都有一个特定的方向和一定的角度。应用软件可以利用手机的指南针来观察这个人的旅行方向,用手机的陀螺仪测量用户所走过路线的转角序列,用加速计显示用户停止前进还是在移动;通过测量一系列的旋转,并把它们串在一起作为一个人的旅行路线,就可以绘制他的运动地图。
格瓦拉和合作伙伴还开发了一种算法,将这些运动数据与用户所在城市街道的数字化地图相匹配,就可以确定一个人最有可能走的路线。他们还通过合并道路曲线和速度限制信息,缩小范围,进一步改进了这种算法。将算法所得到的路线与实际路线相匹配进行排列列表,在进行试验的大部分城市中,用户所选择的真正路径是列表上的前10名的概率超过50%。通过进一步细化地图数据,传感器数据和优化算法可以大大提高预测的准确性。同样地,这种功能可能会被恶意开发者添加到任何应用程序中,在用户不知情的情况下窃取隐私信息。
格瓦拉团队还在继续研究如何利用“旁路攻击”来窃取隐私信息。例如,监测用户在走路时手机的移动方式可能推测出一个人的年龄、性别(男性的电话习惯放在口袋里,女性通常把电话放在钱包里),甚至是健康信息(走路时的稳定程度,或者被绊倒的频率)。
现在人们的生活离不开手机,恶意应用程序有许多方式窃取用户的隐私信息,只有它们找出获取信息的方式,才能够遏制住这种“间谍行为”。