效率源数据恢复论坛

 找回密码
 免费注册

QQ登录

用新浪微博登录

快捷导航
查看: 1391|回复: 0
打印 上一主题 下一主题

智能设备电量如何暴露你的上网习惯

[复制链接]

646

主题

809

帖子

3587

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3587
跳转到指定楼层
楼主
发表于 2016-12-1 16:53:10 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
此文章来源于效率源科技(微信号:xiaolvyuantech)

       编者按:企业厂商收集用户个人信息是一种普遍的市场行为,但随着智能设备用户个人隐私及信息安全意识的提高,企业厂商开始研究更隐秘的用户跟踪技术以搜集用户的个人信息。本期,数据恢复四川省重点实验室科研人员将为你揭秘,企业厂商如何通过智能设备电量收集用户上网习惯等信息。


一、背景介绍

      收集用户个人信息是一种企业厂商普遍采取的市场行为,但随着信息安全意识的提高,人们在使用智能设备时,开始越来越重视个人隐私,会更加关注相关应用是否启用了不应有的权限,是否收集了个人的使用习惯等信息,这使得广告和统计商们难以在智能设备上安装数据收集器并获得用户使用数据。比如,在应用市场中明确标明有广告的应用,下载量会大大低于无广告版本。

      在此背景下,企业为了更光明正大地收集数据,开始研究更隐秘的用户跟踪技术。根据普林斯顿大学和斯坦福大学的发布了的研究报告,一种新的漏洞被用于跟踪用户并收集信息。根据报告中对漏洞的描述,数据恢复四川省重点实验室科研人员分析出,这种漏洞应当是一种开放的可支持所有平台移动设备的信息获取接口,根据该接口,网站或者web应用可以获知当前设备的剩余电量,并根据电量的损耗速度来对网站访问者进行唯一性标识。


二、智能设备电量收集用户信息技术原理

      利用智能设备电量收集用户信息听起来匪夷所思,但这种所谓的漏洞,实际上是一种web应用能够调用到的native接口,这种接口允许服务商通过网页与智能设备的硬件交互,并获得设备的耗电量。这种接口的本意是为网站服务的提供者提供设备电量信息,以便他们能够为低电量设备提供经过优化的低能耗的内容。严格意义上说,这种电量获取接口是合法,并不是所谓的漏洞。

      虽然这种电量获取接口是合法的,但是厂商却可能利用这种接口收集个人行为信息。因为每台智能设备在进行网页浏览的时候,其功耗都是不完全一致的;同时,由于电池的损耗程度和放电速率也会随着使用时长的增加而变得不可预知,因此通过获取设备单位时间的电量消耗量及电池的剩余电量百分比,几乎可以获得一个唯一地设备标识符。

      服务商在网页或web应用页面的脚本文件中调用电量获取接口,并将数据回传到服务端,这样就可以将浏览网站或使用web应用的设备区分开来,从而将用户在该网站或web应用上的使用情况与设备对应起来。这样,服务商相当于获取到了设备使用者的一个网站浏览记录。

      如果仅仅是这样,其实信息的泄露量是很少的,这种信息收集起来,也并不能产生多高的价值。然而,如果这种收集信息的脚本文件是广泛地分布在各类网站中,情况就大不一样了。

      很多数据商会和网站合作,以广告或者静态优化的形式在网站或者web应用中嵌入页面形式的广告。如果同时顺带嵌入这种收集信息的脚本,那么就意味着,如果一个设备访问了该数据商嵌入了脚本的部分或者所有网站,那么数据商就能够通过前文所说的以电量为基础的设备唯一标识,将这个设备的使用者的浏览记录和浏览时长悉数记录下来。如果某些网站或者web应用还能够经过使用者的允许获取到与使用者相关的手机号码或者其他信息,那么该使用者的个人浏览记录与使用习惯将暴露无遗。


三、CDN服务商更容易利用智能设备电量收集用户信息

      除了网站本身可能引发这些威胁之外,CDN(内容分发服务)服务商也可能有意地使用这种技术收集用户信息,而且CDN服务商更容易做这种事情。

      CDN是内容分发服务,由于一些网站的服务器带宽有限,无法支持大量用户访问,或者限于地域限制,无法快速地为较远的用户提供访问服务,因此这些网站会选择CDN来加速自己网站的访问。CDN实际上就是将网站的一些静态页面和脚本存放在CDN服务提供商的服务器上,这些服务器实际上是服务器集群,通常分布在很广泛的范围内,也拥有较大的带宽。如果用户想要访问已经做了CDN的站点,就会首先被引导到CDN服务商的服务器上,并首先读取CDN服务器上缓存的网站数据。如果CDN服务商想要收集信息,只需要在缓存的网页脚本上嵌入上述脚本即可。

      根据调查,很多大型互联网企业的网站都不同程度地使用了这种技术来收集用户信息,多数CDN服务商也参与到了这个行列中来。

普林斯顿大学研究报告中提到的嵌入了脚本的网站


四、结语

      利用智能设备电量收集用户信息,使得用户隐私泄露很难避免,除非用户停止使用移动设备进行页面浏览,或者在使用中随时接通电源,或者禁用一切页面脚本,但这会明显影响使用。这种方式虽然可能泄露用户隐私,但从案件侦查和舆情监控角度讲,却有可能从中收集和提取有价值的信息数据,是未来信息安全研究的一个重要方向。




分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

关闭

站长推荐上一条 /3 下一条

Copyright(C)2015-2016 四川效率源信息安全技术股份有限公司 版权所有|蜀ICP备09015844号|效率源数据恢复论坛  

GMT+8, 2024-11-24 05:10 , Processed in 0.182745 second(s), 29 queries .

Powered by Discuz! X3.2

© 2001-2014 技术支持: Weixiaoduo.com

快速回复 返回顶部 返回列表