虽然消费者和员工通常都知道他们的移动设备会频繁发送数据到互联网,但大多数人不了解随身携带始终联网的设备的风险。美国威斯康星大学麦迪逊分校法律系学生和安全研究员使用廉价传感器建立了一个监控系统,来追踪使用智能手机和其他无线设备的用户。这个CreepyDOS系统使用散布在各处的传感器来监听无线通信,它可以追踪任何使用具有无线功能的移动设备的人。
安全咨询公司Malice Afterthought的创始人Brendan O'Connor创造了这个系统,他表示:“即使你不连接到无线网络,你通过有线连接,我们也能够找到你。如果你在城市中,我们肯定能找到你,并且成本非常低。”
虽然很多隐私活动家都专注于谷歌和其他互联网公司收集的大量数据,以及美国安全局广泛收集的元数据,但CreepyDOL系统让我们意识到,“物联网”的快速发展让这种数据隐私问题更加严重了。
应用安全公司Veracode首席技术官Chris Wysopal表示,“这将完全失去控制,但我们必须接受,这是我们将要面对的未来,每个人都可以跟踪任何人,除非有法律禁止。”
O'Connor创建了一个一次性传感平台,这些平台被空投到目标地区的建筑物的屋顶上。这种平台被称为F-BOMB,成本不到60美元,两节AA电池可以让它持续使用五天或者更多天。这种传感器通过无线命令和控制协议(被称为Reticle)来互相连接,O'Connor创建这种协议来连接到开放无线网络,并使用Tor匿名网络来发送数据和接收命令。
这两种技术会争夺通信,还会加密关于其他节点的信息,这使得取证很难进行。即使CreepyDOL节点被发现,他们都不可能获得关于攻击者的信息。
该系统会监听来自正在搜寻无线网络的智能手机发送的控制信号。任何具有无线功能的智能手机和平板电脑都会偶尔发送自己的信息到网络。此外,如果智能手机连接到一个开放的无线网络中,传感器就可以窃听,很多移动应用程序发送很多纯文本数据,这可以让攻击者获取更多关于用户的信息。
最后,O'Connor使用一种流行的3-D图形引擎来追踪用户的行踪以及关于用户的额外的信息。这名安全研究人员创建了多个过滤器来获取数据,以及将数据转化为关于用户的有效信息。这些传感器并不会发送任何数据,只会监听以纯文本发送的数据。
云计算安全公司Qualys首席技术官Wolfgang Kandek表示,随着移动设备的普及(这些移动设备不断“广播”关于用户的信息),我们相信,试图利用这些公开访问信号的系统将会越来越多。无线技术正在嵌入到更多的设备中(从运动监控器到自行车把手),这将使日常活动监控更加容易。
他表示:“随着设备的普及,这种传感器数据将会暴涨。”
O'Connor表示,人们在担心谷歌和美国国家安全局的同时,也应该关注他们随身携带的易于跟踪的传感器系统。
