2020年6月,史前最严重的规模最大的一次有关台湾省2000万个人数据泄漏的报道震惊了网络安全界,数据泄露成为2020最为热议的话题。而就在两月后,8月,美国国家安全局(National Security Agency )发布了一份《限制位置数据暴露》指南(以下简称指南),以指导国家安全系统(NSS)和美国国防部(DoD)及其他国家安全部门的工作人员,如何在使用移动物联网设备、社交媒体或移动应用程序时降低共享敏感位置数据有关的风险。该指南概述了移动物联网设备如何公开位置数据,说明了使用它们带来的潜在网络安全风险,并提供降低安全风险的建议。
一、《指南》发布背景
在数月来的美国抗议警察暴行和种族不公正的抗议活动中,这份指导方针得以提出。尽管该指南针对的是美国联邦政府用户,但由于人们越来越担心执法机构在抗议期间追踪人群,因此该指南可能具有广泛的吸引力。美国国家安全局的首要任务之一是为美国军方和情报界提供信号情报,所以他是非常熟悉如何跟踪世界各地的手机位置的,由NSA来发布的这份指导性建议,足以看出限制位置数据泄漏的重要性非比寻常。
这并不是 NSA 首次对现代设备的定位技术产生日益增加的风险顾虑。早在2018年,美国军方就意外发现军人的数字健康追踪设备(Fitbit)正在泄漏他们的位置,包括他们所处的位置以及他们附近的军事基地和世界各地的机密场所。而且这种泄密的危险并不仅限于Fitbit和类似的健康追踪设备。由此,美国军方更加重视位置数据泄漏带来的风险,在过去两年,美国国防部就禁止员工使用任何具有位置追踪功能的设备,包括智能手机、智能手表、以及健身手环等。从这些蛛丝马迹也不难看出,该份指导性建议指南并不是空穴来风,应该是美国军方对于位置数据泄漏带来安全风险长期关注后的一项举动,也是对美国联邦政府用户的一种警示。
二、主要内容概述
在过去的十年中,从智能手机到平板电脑再到健身追踪器的移动设备已经与许多人交织在一起,带来了许多好处,并且变得几乎不可或缺。但是,好处和便利可能要付出代价。移动设备通过设计存储和共享有价值的位置数据。该数据可以揭示有关位置中的用户数量,用户活动,日常工作的详细信息,并可以揭示用户和位置之间其他未知的关联。由于手机固有地信任蜂窝网络和提供商,因此手机在开机后便开始公开位置数据。从全球定位系统(GPS)到无线信号(Wi-Fi)或蓝牙连接的设备位置数据可能会在未经用户或提供商同意的情况下被他人获取。任何发送和接收无线信号的设备都具有与手机类似的位置风险,包括物联网(IoT)设备,车辆以及名称中包含“智能”的许多产品。每个用户必须评估他们愿意接受的有关位置跟踪的风险级别。该指南为那些对位置敏感的人以及任务指示他们不得透露自己位置的人提供缓解措施。
(一)移动物联网设备暴露位置信息的风险极大
NSA这份内部指南认为,使用移动设备 —— 甚至仅仅是打开设备的电源 —— 都有暴露位置数据的风险。移动设备对蜂窝网络和通讯服务提供商有着天生的依赖,并且会在每次连接网络时报送实时位置信息,这意味着服务提供商可以对用户展开大范围的追踪。在某些情况下,比如 911 通话,此功能或许可以帮助挽救生命。但对位置信息敏感的人员来说,如果攻击者以某种方式影响或控制服务提供商,反而会招致不必要的风险。
即使没有提供商的合作,也可以从移动设备获取位置数据。当连接到蜂窝网络时,这些设备传输识别信息。商业上可获得的流氓基站允许当地的任何人廉价而容易地获得实时位置数据和跟踪目标。这种流氓基站很难与合法基站区分,如果它的信号最强,移动设备会自动尝试连接到它。此外,位置数据一直存储在移动设备上。而可以利用过去的位置信息来预测未来的位置。其他风险的例子还有:网站使用浏览器指纹来获取位置信息,Wi-Fi接入点和蓝牙功能传感器也可以泄露位置信息。
(二)关闭和禁用定位功能,仍然可能暴露位置信息
指南中强调,用户即便禁用定位服务功能,但仍可能暴露位置信息。这里需要说明定位服务并不等同于全球定位系统(GPS)。而这一点往往很多人会弄混淆。移动设备将地理位置数据作为应用程序的服务,这称为定位服务,而用户可以选择禁用。但禁用定位服务并不是关闭GPS,只是限制了应用程序对于GPS和位置数据的访问,而操作系统仍然能够使用位置数据或者是将位置数据传输到网络。甚至于,即便GPS都不可用了,但移动设备还可以使用Wi-Fi和/或蓝牙功能来计算位置信息,应用程序和网站也可以使用其他传感器数据(不需要用户权限)和web浏览器信息来获取或推断位置信息。
另一种情况,移动设备上的通信服务关闭的时候,Wi-Fi和蓝牙功能也可以用来确定用户的位置。即使在用户使用无线服务不是很活跃的情况下,不显眼的设备(如无线嗅探器)都可以确定信号强度和计算位置。甚至禁用了所有的无线电,设备上的大量传感器也会提供足够的数据来计算位置。而在一些设备上完全禁用蓝牙功能是不太可能的。当通信恢复时,已经保存的信息也可以传输到网络。有的移动设备已被破坏,但是这些设备仍然可以存储或传输位置数据,即使位置设置或所有无线功能已被禁用。
(三)安全风险并不局限于移动物联网设备
该指南指出,任何发送和接收无线信号的设备都有类似于移动设备的位置风险。这包括但不限于健身追踪器、智能手表、智能医疗设备、物联网设备以及内置的汽车通信。个人和家庭智能设备(例如,灯泡、炊具、恒温器、家庭安全装置等)往往包含用户没有意识到的无线功能。这类物联网设备可能很难确保安全,大多数设备无法关闭无线功能,而且几乎没有内置安全性。这些安全和隐私问题可能导致这些设备收集并暴露所有进入物联网设备范围的设备的敏感位置信息。如果用户或用户所在的服务器受到威胁时,自动同步到云账户的数据中包含的地理位置信息也可能带来位置数据暴露的风险。
另一种风险来源于应用程序(APP),即使安装已批准的应用程序商店里的APP,也可能会收集、聚集和传输暴露用户位置的信息。许多应用程序请求位置和其他资源的权限,而这对应用程序的功能来说是不需要的。与位置信息有利害关系的用户在社交媒体上分享信息时应该格外小心。如果社交媒体网站的隐私设置出现错误,信息可能会暴露给比预期更多的受众。发布在社交媒体上的照片可能隐藏着位置数据。即使没有明确的位置数据,照片也可以通过照片内容显示位置信息。
(四)该指南给出具体指导性建议以限制位置数据的暴露
根据用户愿意接受的暴露自己位置的风险程度,在该份指南中,NSA公布了一些措施,以降低用户在使用移动设备和应用程序时暴露自己位置的风险。该指南建议位置数据敏感的人群可以采取以下缓解措施来限制位置数据的暴露:
· 禁用设备上的位置服务设置;
· 禁用蓝牙功能和关闭Wi-Fi(如果这些功能是不必要的);
· 当设备不使用时,开启飞行模式并且确保在飞行模式下禁用蓝牙(BT)和Wi-Fi;
· 给应用程序尽可能少的权限;
· 设置隐私设置,以确保应用程序未使用或共享位置数据;
· 尽可能禁用广告许可;
· 关闭可以跟踪丢失、被盗的设备的设置(通常称为FindMy或Find My Device设置);
· 尽可能减少设备上的网络浏览,并设置浏览器隐私/权限位置设置为不允许使用位置数据;
· 使用匿名虚拟专用网络(VPN)来帮助掩盖位置;尽可能减少存储在云中的位置信息的数据量。
参与关键任务的美国军事和情报人员需要付出更多的努力来隐藏他们的位置,该指南建议他们采取以下额外措施:在开始任何活动之前,请确定可以保护具有无线功能的设备处于非敏感位置并确保无法从此位置预测任务站点;将所有具有无线功能的设备(包括个人设备)放在这个不敏感的位置;对于任务运输,使用没有内置无线通信功能的车辆,或者尽可能关闭这些功能。
三、认识与思考
(一)物联网设备安全问题堪忧,值得引起多方重视
该指南指出任何发送和接收无线信号的设备都有一定的安全风险。这类物联网设备可能很难确保安全,大多数设备无法关闭无线功能,而且几乎没有内置安全性。然而现实情况似乎更加残酷。随着物联网和通信技术的发展,相关研究表明物联网设备已经成为最容易受到网络攻击的对象,在暴露用户的隐私和安全,同时也可能受到大规模网络攻击,造成重大经济损失。
2018年8月,台积电三座12寸晶圆厂生产线遭WannaCry的变种病毒入侵,损失逾千万美元。物联网僵尸网络也在疯狂增长,臭名昭著的Mirai 物联网僵尸网络在2018年一季度至2019年一季度间几乎翻了一番。今年6月,美国国土安全局、网络安全和基础设施安全局(CISA)发布了关于新发现的数十个安全漏洞的通告,称漏洞影响全球500余个厂商生产的数十亿物联网设备,这一事件堪称有史以来物联网安全最为严重的事故。这些漏洞是以色列网络安全公司JSOF 研究人员发现的,研究人员在Treck 开发的底层TCP/IP 软件库中发现了19个安全漏洞,研究人员将这些漏洞称之为——Ripple20。由于严重安全漏洞影响了Treck TCP/IP堆栈,全球数亿台(甚至更多)IoT设备可能会受到远程攻击。这一漏洞影响各行各业,波及家用/消费设备、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通运输以及许多其他关键基础架构。以上这些案例只不过是物联网设备安全问题的冰山一角,物联网设备安全已经日益严峻,值得多方重视。
(二)泄漏位置数据的重要原因之一是应用程序在无授权情况下访问传感器
该指南中重点强调即使用户禁用定位服务功能,甚至是全球定位系统(GPS)都不可用了,移动设备也可以追踪用户位置,同样会有泄漏的风险。并且指南中专门提到,泄漏的风险还可能源于应用程序(APP),即使是从合法的应用商店里下载安装的应用程序仍然有泄漏数据信息的风险。限于该指南重点在于提出问题并给出指导性建议,所以在指南中并为此做更多的分析。而通过参考文献,我们探出了真正的原因。
这种安全隐患来自于移动设备装配了一系列传感器,当然并不仅仅是GPS和通信接口,陀螺仪和加速计也能够对手机的拿取方式以及其它动作进行追踪。移动设备中安装的应用程序(App)能够借助这些传感器来执行用户无法预知的任务,比如说追踪用户在城市街道中的运动等。大多数人认为关闭移动设备的定位服务就能够阻止这种监视,但是App却可以逃避这种限制。多年来已经发生了许多借助不同方式进行的攻击,移动设备可以说是黑客攻击的完美目标。它们内部充斥着传感器,通常至少含有加速器、陀螺仪、磁力计、气压计、麦克风、摄像头、温度计、计步器、光传感器和湿度传感器。
正是这些传感器给那些恶意软件留下了可钻的空子。这是因为一些App能够在不需要用户同意的情况下直接访问大多数传感器。通过将两个或者两个以上传感器的内容进行组合,就有可能让黑客做出一些用户、移动设备设计者和App研发者意料之外的事情。比如,一款App能够观察到用户的前进方向,这款App还能够借助手机的陀螺仪记录用户在前行过程中转弯角度的顺序。而加速器则能表明用户是停止还是前进状态。通过一系列转弯角度的测量就能够制作出用户的行动路线图。
(三)该指南的发布只是美国应对物联网安全的缩影,其背后是美国联邦政府意识到物联网安全问题的严重性而做出的种种规划与布局
从美国国防部禁止员工使用任何具有位置追踪功能的设备,到美国国家安全局正式发布《限制位置数据泄漏》的指南,这只是美国应对物联网飞速发展,带来网络安全风险的一个很小的举措。其背后是美国联邦政府意识到物联网安全问题的严重性,从立法、标准、技术多方面,各维度积极推进针对物联网安全的各项措施,做出的种种规划与布局。
在物联网安全立法方面,美国国会不断完善物联网安全法案,提出更加合理的安全指导方针。早在2016年,恶意软件Mirai攻击物联网设备事件,导致了几个热门网站发生瘫痪,并由此引发了人们对物联网(IoT)设备安全需求的关注。自那以后,美国国会一直试图通过有关物联网安全的立法。2017年参议员向国会提交《2017物联网网络安全改进法》,希望通过设定联邦政府采购物联网设备安全标准,来改善美政府所面临的物联网安全问题。在2019年,美国国会再次提出《物联网网络安全改进法案》,该法案并没有像2017年的法案那样,试图明确规定如何保护联网设备。相反,它的目标是建立一个框架,政府可以使用这个框架来确定安全联网设备所需的特征的清单。该法案改进的地方是,将确定安全设备要求的任务分配给了熟知技术的美国国家标准与技术研究所(NIST)。然后将由管理和预算办公室(OMB)来指导联邦机构如何采用NIST的指南。这种分两步走的方法将更灵活地制定机构的安全标准,因为NIST制定强有力的标准,OMB也可能要求一些联邦机构根据自身安全保密的等级忽略部分标准,例如国家公园管理局可能不需要与国防部同样的安全指南。良好的安全性是一个持续的处理过程,而不是你可以设置好后就置于脑后的东西。这也是该改进法案更出色的地方,该法案要求NIST每五年评估一次设备安全性并更新政府的标准。
在物联网安全标准方面,美国国家标准与技术研究所NIST持续出台更加细致的标准与细则,构建物联网设备安全防线。近年来,美国国家标准与技术研究所(NIST)已多次向美国政府提交关于物联网安全的解决方案,为美国政府机关、设备供应商、服务提供商提供指引。2019年6月,NIST发布内部报告《物联网管理安全与隐私保护框架》(NISTIR8228),指出物联网设备的用户在物联网安全中尤为重要,并且用户需要意识到物联网设备的安全风险,并为此做好缓解计划。这份报告也指出,客户和厂商之间也要建立强大的沟通渠道,尤其是针对网络安全的功能以及安全控制的预期方面。2020年5月NIST在此基础上,出台更加细致的标准《物联网设备网络安全能力核心基准》(NISTIR 8259A)。该基准定义了物联网设备网络安全能力的核心基准,介绍六方面的物联网设备网络安全能力,其中包括设备识别、设备配置、数据保护、接口的逻辑访问、软件更新以及网络安全状态感知。为物联网设备网络安全能力提供了最低基准线,为使用者提供一般性参考,为其他组织定义更适合自身物联网设备的安全措施提供了安全基准保障。
在物联网安全技术方面,美国国防部高级研究计划局推动多个项目来防范物联网安全风险。为了应对物联网等技术飞速发展带来的网络安全风险,美国国防部高级研究计划局(DARPA)启动了多个项目来进行防范,且这些项目的预算投入也相对较大。例如,快速攻击检测隔离和表征系统项目(Rapid Attack Detection,Isolation and Characterization Systems,RADICS),该项目的应用对象就是能源部门关键系统(包括了大量的物联网设备),旨在开发这些关键系统遭受网络攻击之际,可使美国电网恢复正常的自动化系统。极端分布拒绝服务防御(Extreme Distributed Denial of Service Defense,XD3)项目的一个重要目标就是对抗物联网僵尸网络,构建一种新型的计算机联网架构。利用模拟域实现安全性( Leveraging the Analog Domain for Security,LADS) 项目的目标对象就是那些自身资源较少的轻量级物联网设备,另辟蹊径通过侧信道信号来监测系统,实现系统设备与安全监测功能的分离。另一方面从DARPA 2018年至2020年在上述项目的财务预算投入中,也能反应美国军方对物联网设备安全的重视程度。(其中RADICS项目投入8470万美元,XD3项目投入3789万美元,LADS项目投入4400万美元。)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
