◆曾杰

美國NSA發(fā)布《限制位置數(shù)據(jù)暴露》指南淺議

◆曾杰

（中國電子科技集團(tuán)公司第三十研究所 四川 610000）

2020年6月，最為嚴(yán)重、規(guī)模最大的一次數(shù)據(jù)泄漏是臺灣地區(qū)2000萬個人數(shù)據(jù)泄漏，這震驚了網(wǎng)絡(luò)安全界，數(shù)據(jù)泄露成為2020最為熱議的話題。而就在兩月后，美國國家安全局則發(fā)布《限制位置數(shù)據(jù)暴露》指南，以指導(dǎo)如何降低安全風(fēng)險。本文對該指南的發(fā)布背景給以分析，對其重點(diǎn)內(nèi)容進(jìn)行解讀，并提出一些相應(yīng)的思考。

數(shù)據(jù)泄露；網(wǎng)絡(luò)安全；物聯(lián)網(wǎng)安全

2020年8月，美國國家安全局（National Security Agency）發(fā)布了一份《限制位置數(shù)據(jù)暴露》[1]指南（以下簡稱指南），以指導(dǎo)國家安全系統(tǒng)（NSS）和美國國防部（DoD）及其他國家安全部門的工作人員，如何在使用移動物聯(lián)網(wǎng)設(shè)備、社交媒體或移動應(yīng)用程序時降低共享敏感位置數(shù)據(jù)有關(guān)的風(fēng)險。該指南概述了移動物聯(lián)網(wǎng)設(shè)備如何公開位置數(shù)據(jù)，說明了使用它們帶來的潛在網(wǎng)絡(luò)安全風(fēng)險，并提供降低安全風(fēng)險的建議。

1 《指南》發(fā)布背景

在數(shù)月來的美國抗議警察暴行和種族不公正的抗議活動中，這份指導(dǎo)方針得以提出。盡管該指南針對的是美國聯(lián)邦政府用戶，但由于人們越來越擔(dān)心執(zhí)法機(jī)構(gòu)在抗議期間追蹤人群，因此該指南可能具有廣泛的吸引力。NSA的首要任務(wù)之一是為美國軍方和情報界提供信號情報，所以他是非常熟悉如何跟蹤世界各地的手機(jī)位置的，由NSA來發(fā)布的這份指導(dǎo)性建議，足以看出限制位置數(shù)據(jù)泄漏的重要性非比尋常。

這并不是 NSA 首次對現(xiàn)代設(shè)備的定位技術(shù)產(chǎn)生日益增加的風(fēng)險顧慮。早在2018年，美國軍方就意外發(fā)現(xiàn)軍人的數(shù)字健康追蹤設(shè)備（Fitbit）正在泄漏他們的位置，包括他們所處的位置以及他們附近的軍事基地和世界各地的機(jī)密場所。而且這種泄密的危險并不僅限于Fitbit和類似的健康追蹤設(shè)備。由此，美國軍方更加重視位置數(shù)據(jù)泄漏帶來的風(fēng)險，在過去兩年，美國國防部就禁止員工使用任何具有位置追蹤功能的設(shè)備，包括智能手機(jī)、智能手表、以及健身手環(huán)等。從這些蛛絲馬跡也不難看出，該份指導(dǎo)性建議指南并不是空穴來風(fēng)，應(yīng)該是美國軍方對于位置數(shù)據(jù)泄漏帶來安全風(fēng)險長期關(guān)注后的一項(xiàng)舉動，也是對美國聯(lián)邦政府用戶的一種警示。

2 《指南》主要內(nèi)容概述

在過去的十年中，從智能手機(jī)到平板電腦再到健身追蹤器的移動設(shè)備已經(jīng)與許多人交織在一起，帶來了許多好處，并且變得幾乎不可或缺。但是，好處和便利可能要付出代價。移動設(shè)備通過設(shè)計(jì)存儲和共享有價值的位置數(shù)據(jù)。該數(shù)據(jù)可以揭示有關(guān)位置中的用戶數(shù)量，用戶活動，日常工作的詳細(xì)信息，并可以揭示用戶和位置之間其他未知的關(guān)聯(lián)。由于手機(jī)固有地信任蜂窩網(wǎng)絡(luò)和提供商，因此手機(jī)在開機(jī)后便開始公開位置數(shù)據(jù)。從全球定位系統(tǒng)（GPS）到無線信號（Wi-Fi）或藍(lán)牙連接的設(shè)備位置數(shù)據(jù)可能會在未經(jīng)用戶或提供商同意的情況下被他人獲取。任何發(fā)送和接收無線信號的設(shè)備都具有與手機(jī)類似的位置風(fēng)險，包括物聯(lián)網(wǎng)（IoT）設(shè)備，車輛以及名稱中包含“智能”的許多產(chǎn)品。每個用戶必須評估他們愿意接受的有關(guān)位置跟蹤的風(fēng)險級別。該指南為那些對位置敏感的人以及任務(wù)指示他們不得透露自己位置的人提供緩解措施。

2.1 移動物聯(lián)網(wǎng)設(shè)備暴露位置信息的風(fēng)險極大

NSA這份內(nèi)部指南認(rèn)為，使用移動設(shè)備——甚至僅僅是打開設(shè)備的電源——都有暴露位置數(shù)據(jù)的風(fēng)險。移動設(shè)備對蜂窩網(wǎng)絡(luò)和通訊服務(wù)提供商有著天生的依賴，并且會在每次連接網(wǎng)絡(luò)時報送實(shí)時位置信息，這意味著服務(wù)提供商可以對用戶展開大范圍的追蹤。在某些情況下，比如 911 通話，此功能或許可以幫助挽救生命。但對位置信息敏感的人員來說，如果攻擊者以某種方式影響或控制服務(wù)提供商，反而會招致不必要的風(fēng)險。

即使沒有提供商的合作，也可以從移動設(shè)備獲取位置數(shù)據(jù)。當(dāng)連接到蜂窩網(wǎng)絡(luò)時，這些設(shè)備傳輸識別信息。商業(yè)上可獲得的流氓基站允許當(dāng)?shù)氐娜魏稳肆畠r而容易地獲得實(shí)時位置數(shù)據(jù)和跟蹤目標(biāo)。這種流氓基站很難與合法基站區(qū)分，如果它的信號最強(qiáng)，移動設(shè)備會自動嘗試連接到它。[2]此外，位置數(shù)據(jù)一直存儲在移動設(shè)備上。而可以利用過去的位置信息來預(yù)測未來的位置。其他風(fēng)險的例子還有：網(wǎng)站使用瀏覽器指紋來獲取位置信息，Wi-Fi接入點(diǎn)和藍(lán)牙功能傳感器也可以泄露位置信息。

2.2 關(guān)閉和禁用定位功能，仍然可能暴露位置信息

指南中強(qiáng)調(diào)，用戶即便禁用定位服務(wù)功能，但仍可能暴露位置信息。這里需要說明定位服務(wù)并不等同于全球定位系統(tǒng)（GPS）。而這一點(diǎn)往往很多人會弄混淆。移動設(shè)備將地理位置數(shù)據(jù)作為應(yīng)用程序的服務(wù)，這稱為定位服務(wù)，而用戶可以選擇禁用。但禁用定位服務(wù)并不是關(guān)閉GPS，只是限制了應(yīng)用程序?qū)τ贕PS和位置數(shù)據(jù)的訪問，而操作系統(tǒng)仍然能夠使用位置數(shù)據(jù)或者是將位置數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)。甚至于，即便GPS都不可用了，但移動設(shè)備還可以使用Wi-Fi和/或藍(lán)牙功能來計(jì)算位置信息，應(yīng)用程序和網(wǎng)站也可以使用其他傳感器數(shù)據(jù)（不需要用戶權(quán)限）和web瀏覽器信息來獲取或推斷位置信息[3]。

另一種情況，移動設(shè)備上的通信服務(wù)關(guān)閉的時候，Wi-Fi和藍(lán)牙功能也可以用來確定用戶的位置。即使在用戶使用無線服務(wù)不是很活躍的情況下，不顯眼的設(shè)備（如無線嗅探器）都可以確定信號強(qiáng)度和計(jì)算位置。甚至禁用了所有的無線電，設(shè)備上的大量傳感器也會提供足夠的數(shù)據(jù)來計(jì)算位置。而在一些設(shè)備上完全禁用藍(lán)牙功能是不太可能的。當(dāng)通信恢復(fù)時，已經(jīng)保存的信息也可以傳輸?shù)骄W(wǎng)絡(luò)。有的移動設(shè)備已被破壞，但是這些設(shè)備仍然可以存儲或傳輸位置數(shù)據(jù)，即使位置設(shè)置或所有無線功能已被禁用。

2.3 安全風(fēng)險并不局限于移動物聯(lián)網(wǎng)設(shè)備

該指南指出，任何發(fā)送和接收無線信號的設(shè)備都有類似于移動設(shè)備的位置風(fēng)險。這包括但不限于健身追蹤器、智能手表、智能醫(yī)療設(shè)備、物聯(lián)網(wǎng)設(shè)備以及內(nèi)置的汽車通信。個人和家庭智能設(shè)備（例如，燈泡、炊具、恒溫器、家庭安全裝置等）往往包含用戶沒有意識到的無線功能。這類物聯(lián)網(wǎng)設(shè)備可能很難確保安全，大多數(shù)設(shè)備無法關(guān)閉無線功能，而且?guī)缀鯖]有內(nèi)置安全性。這些安全和隱私問題可能導(dǎo)致這些設(shè)備收集并暴露所有進(jìn)入物聯(lián)網(wǎng)設(shè)備范圍的設(shè)備的敏感位置信息[4]。如果用戶或用戶所在的服務(wù)器受到威脅時，自動同步到云賬戶的數(shù)據(jù)中包含的地理位置信息也可能帶來位置數(shù)據(jù)暴露的風(fēng)險。

另一種風(fēng)險來源于應(yīng)用程序（APP），即使安裝已批準(zhǔn)的應(yīng)用程序商店里的APP，也可能會收集、聚集和傳輸暴露用戶位置的信息。許多應(yīng)用程序請求位置和其他資源的權(quán)限，而這對應(yīng)用程序的功能來說是不需要的。與位置信息有利害關(guān)系的用戶在社交媒體上分享信息時應(yīng)該格外小心。如果社交媒體網(wǎng)站的隱私設(shè)置出現(xiàn)錯誤，信息可能會暴露給比預(yù)期更多的受眾。發(fā)布在社交媒體上的照片可能隱藏著位置數(shù)據(jù)。即使沒有明確的位置數(shù)據(jù)，照片也可以通過照片內(nèi)容顯示位置信息[5]。

2.4 該指南給出具體指導(dǎo)性建議以限制位置數(shù)據(jù)的暴露

根據(jù)用戶愿意接受的暴露自己位置的風(fēng)險程度，在該份指南中，NSA公布了一些措施，以降低用戶在使用移動設(shè)備和應(yīng)用程序時暴露自己位置的風(fēng)險。該指南建議位置數(shù)據(jù)敏感的人群可以采取以下緩解措施來限制位置數(shù)據(jù)的暴露：

（1）禁用設(shè)備上的位置服務(wù)設(shè)置；

（2）禁用藍(lán)牙功能和關(guān)閉Wi-Fi（如果這些功能是不必要的）；

（3）當(dāng)設(shè)備不使用時，開啟飛行模式并且確保在飛行模式下禁用藍(lán)牙（BT）和Wi-Fi；

（4）給應(yīng)用程序盡可能少的權(quán)限；

（5）設(shè)置隱私設(shè)置，以確保應(yīng)用程序未使用或共享位置數(shù)據(jù)；

（6）盡可能禁用廣告許可；

（7）關(guān)閉可以跟蹤丟失、被盜的設(shè)備的設(shè)置（通常稱為FindMy或Find My Device設(shè)置）；

（8）盡可能減少設(shè)備上的網(wǎng)絡(luò)瀏覽，并設(shè)置瀏覽器隱私/權(quán)限位置設(shè)置為不允許使用位置數(shù)據(jù)；

（9）使用匿名虛擬專用網(wǎng)絡(luò)（VPN）來幫助掩蓋位置；盡可能減少存儲在云中的位置信息的數(shù)據(jù)量。

參與關(guān)鍵任務(wù)的美國軍事和情報人員需要付出更多的努力來隱藏他們的位置，該指南建議他們采取以下額外措施：在開始任何活動之前，請確定可以保護(hù)具有無線功能的設(shè)備處于非敏感位置并確保無法從此位置預(yù)測任務(wù)站點(diǎn)；將所有具有無線功能的設(shè)備（包括個人設(shè)備）放在這個不敏感的位置；對于任務(wù)運(yùn)輸，使用沒有內(nèi)置無線通信功能的車輛，或者盡可能關(guān)閉這些功能。

3 啟示與思考

從美國國防部禁止員工使用任何具有位置追蹤功能的設(shè)備，到NSA正式發(fā)布《限制位置數(shù)據(jù)泄漏》的指南，這只是美國應(yīng)對物聯(lián)網(wǎng)飛速發(fā)展，帶來網(wǎng)絡(luò)安全風(fēng)險的一個很小的舉措。其背后是美國聯(lián)邦政府意識到物聯(lián)網(wǎng)安全問題的嚴(yán)重性，從立法、標(biāo)準(zhǔn)、技術(shù)多方面，各維度積極推進(jìn)針對物聯(lián)網(wǎng)安全的各項(xiàng)措施，做出的種種規(guī)劃與布局。

3.1 在物聯(lián)網(wǎng)安全立法方面，美國國會不斷完善物聯(lián)網(wǎng)安全法案，提出更加合理的安全指導(dǎo)方針

早在2016年，惡意軟件Mirai攻擊物聯(lián)網(wǎng)設(shè)備事件，導(dǎo)致了幾個熱門網(wǎng)站發(fā)生癱瘓，并由此引發(fā)了人們對物聯(lián)網(wǎng)（IoT）設(shè)備安全需求的關(guān)注。自那以后，美國國會一直試圖通過有關(guān)物聯(lián)網(wǎng)安全的立法。2017年參議員向國會提交《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》，希望通過設(shè)定聯(lián)邦政府采購物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)，來改善美政府所面臨的物聯(lián)網(wǎng)安全問題。在2019年，美國國會再次提出《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，該法案并沒有像2017年的法案那樣，試圖明確規(guī)定如何保護(hù)聯(lián)網(wǎng)設(shè)備。相反，它的目標(biāo)是建立一個框架，政府可以使用這個框架來確定安全聯(lián)網(wǎng)設(shè)備所需的特征的清單。該法案改進(jìn)的地方是，將確定安全設(shè)備要求的任務(wù)分配給了熟知技術(shù)的美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）。然后將由管理和預(yù)算辦公室（OMB）來指導(dǎo)聯(lián)邦機(jī)構(gòu)如何采用NIST的指南。這種分兩步走的方法將更靈活的制定機(jī)構(gòu)的安全標(biāo)準(zhǔn)，因?yàn)镹IST制定強(qiáng)有力的標(biāo)準(zhǔn)，OMB也可能要求一些聯(lián)邦機(jī)構(gòu)根據(jù)自身安全保密的等級忽略部分標(biāo)準(zhǔn)，例如國家公園管理局可能不需要與國防部同樣的安全指南。良好的安全性是一個持續(xù)的處理過程，而不是你可以設(shè)置好后就置于腦后的東西。這也是該改進(jìn)法案更出色的地方，該法案要求NIST每五年評估一次設(shè)備安全性并更新政府的標(biāo)準(zhǔn)。

3.2 在物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)方面，美國NIST持續(xù)出臺更加細(xì)致的標(biāo)準(zhǔn)與細(xì)則，構(gòu)建物聯(lián)網(wǎng)設(shè)備安全防線

近年來，NIST已多次向美國政府提交關(guān)于物聯(lián)網(wǎng)安全的解決方案，為美國政府機(jī)關(guān)、設(shè)備供應(yīng)商、服務(wù)提供商提供指引。2019年6月，NIST發(fā)布內(nèi)部報告《物聯(lián)網(wǎng)管理安全與隱私保護(hù)框架》（NISTIR8228），指出物聯(lián)網(wǎng)設(shè)備的用戶在物聯(lián)網(wǎng)安全中尤為重要，并且用戶需要意識到物聯(lián)網(wǎng)設(shè)備的安全風(fēng)險，并為此做好緩解計(jì)劃。這份報告也指出，客戶和廠商之間也要建立強(qiáng)大的溝通渠道，尤其是針對網(wǎng)絡(luò)安全的功能以及安全控制的預(yù)期方面。2020年5月NIST在此基礎(chǔ)上，出臺更加細(xì)致的標(biāo)準(zhǔn)《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力核心基準(zhǔn)》（NISTIR 8259A）。該基準(zhǔn)定義了物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力的核心基準(zhǔn)，介紹六方面的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力，其中包括設(shè)備識別、設(shè)備配置、數(shù)據(jù)保護(hù)、接口的邏輯訪問、軟件更新以及網(wǎng)絡(luò)安全狀態(tài)感知。為物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力提供了最低基準(zhǔn)線，為使用者提供一般性參考，為其他組織定義更適合自身物聯(lián)網(wǎng)設(shè)備的安全措施提供了安全基準(zhǔn)保障。

3.3 在物聯(lián)網(wǎng)安全技術(shù)方面，美國國防部高級研究計(jì)劃局（DARPA）推動多個項(xiàng)目來防范物聯(lián)網(wǎng)安全風(fēng)險

為了應(yīng)對物聯(lián)網(wǎng)等技術(shù)飛速發(fā)展帶來的網(wǎng)絡(luò)安全風(fēng)險，DARPA啟動了多個項(xiàng)目來進(jìn)行防范，且這些項(xiàng)目的預(yù)算投入也相對較大[6]。例如，快速攻擊檢測隔離和表征系統(tǒng)項(xiàng)目（Rapid Attack Detection，Isolation and Characterization Systems，RADICS），該項(xiàng)目的應(yīng)用對象就是能源部門關(guān)鍵系統(tǒng)（包括了大量的物聯(lián)網(wǎng)設(shè)備），旨在開發(fā)這些關(guān)鍵系統(tǒng)遭受網(wǎng)絡(luò)攻擊之際，可使美國電網(wǎng)恢復(fù)正常的自動化系統(tǒng)。極端分布拒絕服務(wù)防御（ExtremeDistributed Denial of ServiceDefense，XD3）項(xiàng)目的一個重要目標(biāo)就是對抗物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，構(gòu)建一種新型的計(jì)算機(jī)聯(lián)網(wǎng)架構(gòu)。利用模擬域?qū)崿F(xiàn)安全性（Leveraging the Analog Domain for Security，LADS）項(xiàng)目的目標(biāo)對象就是那些自身資源較少的輕量級物聯(lián)網(wǎng)設(shè)備，另辟蹊徑通過側(cè)信道信號來監(jiān)測系統(tǒng)，實(shí)現(xiàn)系統(tǒng)設(shè)備與安全監(jiān)測功能的分離。另一方面從DARPA 2018年至2020年在上述項(xiàng)目的財務(wù)預(yù)算投入中，也能反映美國軍方對物聯(lián)網(wǎng)設(shè)備安全的重視程度。（其中RADICS項(xiàng)目8470萬美元，XD3項(xiàng)目3789萬美元，LADS項(xiàng)目4400萬美元）[7]。

[1]http://media.defense.gov/2020/Aug/042002469874/-1/-1/0/CSI_LIMITING_LOCATION_DATA_EXPOSURE_FINAL.pdf.

[2]“Security weaknesses in 5G，4G，and 3G could expose users’ locations.”Sophos，04 February 2020. https://nakedsecurity.sophos.com/2019/02/04/security-weaknesses-in-5g-4g-and-3g-could-expose-users-locations/.

[3]“PinMe：Tracking a Smartphone User around the World.” Cornell University，05 February 2018.https://arxiv.org/pdf/1802.01468.pdf.

[4]“internet of things：Privacy & Security in a Connected World.”Federal Trade Commission，09 January 2015.https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitledinternet-things-privacy/150127iotrpt.pdf.

[5]“PlaNet - Photo Geolocation with Convolutional Neural Networks.”Cornell University，17 February 2016. https：//arxiv.org/abs/1602.05314/.

[6]徐婧.美國國防高級研究計(jì)劃局未來網(wǎng)絡(luò)安全研發(fā)趨勢分析[J].世界科技研究與發(fā)展，2020.

[7]PA.Department of DefenseFiscal Year（FY）2020Budget Estimates.[EB/OL]．[2019-03]．https: //www.darpa.mil/attachments/DAＲPA_FY20_Presidents_Budget_Ｒequest.pdf.