- 本文转载自科技大观园,原文为《为什麽网路广告都知道我去过哪些地方?手机通讯的资安隐忧与个资保护新技术》
- 作者/吴谨安|科技大观园特约编辑
新冠肺炎疫情在国际间蔓延接近两年,疫情前期政府推出「电子围篱」系统,透过手机监测居家隔离者是否违规外出,却也衍生出人民隐私遭到侵犯的讨论。但事实上,早在疫情前电信商就能取得使用者身分与手机位置的资料。即使关闭 GPS,日常手机在与周边基地台交换数据的过程中,就需要提供装置身分识别与位置资讯。当电信公司将相关资讯贩卖给资料仲介(data broker)等第三方,或是资讯传输过程被骇客窃取,便可能造成潜在的资安问题。
因此,南加州大学(University of Southern California)研究团队便提出一项新技术-Pretty Good Phone Privacy (PGPP),尝试在确保服务品质的情况下,保护装置使用者位置的隐私性。
身分验证:通讯网路如何识别用户与提供服务
「我们在不知不觉间同意让手机变相成为行踪跟监装置,但直到今天我们对现况仍然没有其他选择-使用手机等於同意接受跟监。」PGPP 研究者 Barath Raghavan 表示。另一位研究者 Paul Schmitt 则进一步指出,现有通讯网络的问题在於身分验证与提供通讯服务使用的透过相同的管道进行。不仅让电信商能利用这些敏感资讯寻求商业利益,也让骇客有机会从外部透过技术取得使用者的敏感资讯。
不过,想了解使用者讯息是如何在环环相扣的网络中被蒐集,甚至面临被窃取的风险,必须先从手机如何取得通讯服务讲起。
日常生活中,手机在接收资讯时,需要与遍布周遭的基地台与通讯网路取得联系,由各个基地台以六角形的方式构成的通讯网络,也称作蜂巢式网络(Cellular network)。为了提供收发资讯的服务,手机需要藉由无线电波与网络中的基地台验证身分,确认装置为付费用户後通讯网络便可以开始提供其他服务。
进一步以 5G 服务为例,5G 架构可以分为 NG-RAN(Next Generation Radio Access Network)与 NGC(Next Generation Core)两部分(如图一):(1)NG-RAN 由手机(UE)与基地台(gNodeB)组成,手机可以透过基地台手机连接到NGC。(2)NGC 则提供身分验证、计费、简讯和资料连接等服务,包含 AMF(Access and Mobility Management Function)、AUSF(Authentication Server Function)、SMF(Session Management Function)和 UPF(User Plane Function)五个部分。其中 AMF 主要负责与手机沟通、AUSF 负责验证、SMF 和 UPF 则提供 IP 位置与连线服务。
连网过程中,手机会透过最邻近的基地台将储存於 SIM 卡中的身分识别码-SUPI(Subscription Permanent Identifier)在 4G 中称作 IMSI(International Mobile Subscriber Identity)传送给 AMF,此时 AUSF 会对 SUPI 进行验证确保此手机是有效用户。通过验证後,SMF 与 UPF 便会提供 IP 位置与开放网路服务。而在验证过程中,电信商的 AUSF 资料库会记录所有透过它取得网服务的 SUPI 以及其他注册资讯。由於每个 SUPI 都是全球唯一且永久的识别码,因此除了电信商,对有意监控手机用户的人而言,SUPI 也成为一个极具价值的目标。
基地台定位系统可能成为骇客攻击的跳板
此外,敏感资讯在前面提到的层层传输过程中也面临骇客的威胁,骇客可以透过被动撷取与主动蒐集两种方式,掌握用户的 SUPI/IMSI 与位置资讯,并进行一连串後续的侵权行为。
被动撷取是利用手机与基地台沟通之间的漏洞来达成目的。例如,近年基地台模拟器-IMSI 撷取器(IMSI catchers)或俗称魟鱼逐渐兴起,利用手机会自动连接到邻近最强讯号源(通常是基地台),并提供自身 SUPI/IMSI 以供验证的特性。IMSI 撷取器发送强於周围合法基地台的讯号,藉此取得用户的识别码,让监控者可以辨识与监听未加密的用户通讯内容,其实这种作法早已在情报单位与极权国家被广泛地利用。
虽然现有通讯网路尝试提供暂时性验证码-如 GUTI(Globally Unique Temporary UE Identity)来代替 SUPI。只要手机成功连到网路,便会用 GUTI 代替 SUPI,成为该手机的临时标签,减少 SUPI 暴露在网络传输过程的次数。但就算 GUTI 会由 AMF 定期更换,实务经验指出 GUTI 对於使用者隐私的保护有限,骇客仍可以透过技术将 GUTI 去匿名化,进而掌握特定个人的行踪。
除了被动撷取资讯,骇客还可以利用基地台呼叫(paging)定位的原理主动地发动攻击。为了能快速定位用户位置以确保通讯服务能被送达,电信商会将数个基地台覆盖区域组成一个追踪区域(tracking area),并且如果有讯息传送到闲置中的手机时,基地台会要求手机回传临时识别码。骇客在不知道用户位置与身分识别码的情况下,可以频繁地拨打电话给邻近追踪区域内的装置再迅速挂断。用户手机可能根本不会跳出通知,但骇客却可以利用追踪区域的基地台呼叫讯息,在短时间内定位出用户的大略位置,甚至进一步可以瘫痪与绑架目标用户手机服务。
值得一提的是,尽管 5G 技术在保护隐私上做了许多改进。但 5G 讯号使用更高的频段,提供高传输速率与低延迟服务的同时,也伴随通讯距离、覆盖范围较 4G 小的限制。为了确保通讯服务便需要提高基地台密度,等於变相让电信商与骇客能更准确定位使用者的位置。
PGPP:将身分识别验证与网路服务分开进行
虽然个人行踪隐私与手机识别讯息泄漏会造成庞大的社会成本,但要透过改变现有通讯网络硬体设计,达到保护个资的目的,也需面临设备更新成本巨大的挑战。因此 PGPP 尝试从软体的角度解决问题,让用户可以透过 PGPP 保护自己的行踪隐私。
「解决问题的关键在於,如果要希望保持匿名性,又要怎麽让通讯网络验证你是合法的使用者?」Barath Raghavan 说。为了将身分验证与网路服务的过程拆开,PGPP 使用了加密标记(Token)与代理伺服器的概念。在 PGPP 的协定中,付费用户可以从电信商取得一个加密标记。而所有用户第一次连接到基地台时,使用的是一样的 SUPI/IMSI,让使用者连结到代理伺服器的验证画面(PGPP-GW),并以加密代币进行验证。过程中电信商与骇客只能看到所有用户都使用同样的 SUPI/IMSI 与 IP 位置进行连网,如此一来,身分识别资讯与基地台资讯就能够完成分离(图二)。
此外,为了解决骇客利用追踪区域基地台呼叫讯息来定位用户,PGPP 为每个手机随机客制不同的追踪区域,而非传统地由电信商定义出追踪区域。如此一来,骇客即便取得追踪区域编号也无法得知用户实际所处的位置在哪里(图三)。
为了能真实测试 PGPP,Barath Raghavan 与 Paul Schmitt 甚至成立了一家新创公司-Invisv。结果显示 PGPP 在保护个资的同时,也几乎不会有延迟增加、流量过载,以及其他匿名网路会遇到的延展性问题。由於 PGPP 只是停止让手机向基地台传送自己的身分,因此其他定位功能还是可以正常使用。
最後,Barath Raghavan 也指出现在是人类有史以来第一次,几乎每个人无时无刻的行踪都能及时地被掌握。但人们常常默许地将关於自身资讯的控制权交给大公司与政府,PGPP 的发明就是希望在这样的洪流中取回一些对自身隐私的控制权。
资料来源
- Pretty Good Phone Privacy
- Is Your Mobile Provider Tracking Your Location? This New Technology Could Stop It.
- 4G、5G技术漏洞可让骇客追踪用户地点、瘫痪手机、拦截通话内容
水熊虫真的能跟量子位元「量子纠缠」吗?- 逼近 50% 的癌症研究实验无法被重现?RPCB 耗时 8 年点出「再现性危机」
- 大资讯时代也是大骇客时代!——你该认识的骇客新兴手法
- Omicron 变种病毒从哪来?打疫苗有用吗?Omicron 相关研究汇整
- 推理系动画毒杀利器!——认识致命的「河魨毒」