来自威斯康星大学法律系的学生兼研究员Brendan O‘Connor警告称,现在移动设备用户无需获得美国国家安全局的同意,即可利用由廉价传感器及后端分析组件组成的系统来完成设备窃听。
Brendan O’Connor仅利用一个由无线传感器和分析算法组成的系统——Creepy DOL,即可跟踪他本人在城市范围内的行动轨迹,以及收集移动应用经常(未经加密或采用任何保护措施)传输的信息数据。例如苹果的iPhone手机一般会发送有关其操作系统版本、MAC地址及其他有助于辨认设备及其用户的信息。O‘Connor警告大众,人们经常会在无意中泄露很多信息;例如购物、约会等场景下可能会通过公共WiFi泄露设备的操作系统版本、应用版本甚至是GPS坐标。他表示:“在未经加密的情况下发送此类数据会给有心之人可乘之机。”
Creepy DOL系统内包含的传感器可粘附到墙壁上、抛掷到屋顶上,或甚至通过无线电操控的飞机进行投掷。由于可实现空投,O‘Connor将其称为F-Bomb传感器;这种只比扑克牌大一点的黑匣子可监控本地WiFi通讯中未经加密的数据,从而从移动设备中收集相关用户的信息。
每个F-Bomb传感器的所有组件成本加起来只需57美元,并且这些组件随处都可买到。
这些传感器将连接本地的公共WiFi网络,通过自动点击“接受”按钮来接受任何授权协议;然后传感器将连接至Tor网络,以便对其流量进行匿名化并将收集到的信息传回接收装置。每个传感器还会执行本地处理,以将捕获的海量数据包处理成具体的信息,例如目标物的身份、所处位置以及当前正使用的应用。
收集到的数据随后通过开放的网络传回两个数据库,在那里完成快速的查询和分析。
为进一步简化Creepy DOL系统的使用,O’Connor使用Unity游戏引擎构建了一个可视化程序,该程序可将来自移动设备的报告绘制在本地地图上,允许窃听者轻松跟踪目标物的行动轨迹。
虽然这一系统可以收集到许多移动设备用户的更多有趣的实际信息,但O‘Connor不会使用它来窃听他人的通讯行为,因为Andrew Auernheimer(以“Weev”而闻名于互联网)已因类似行为而遭美国政府起诉并被判以41个月的刑期(虽然他本人仍在上诉中)。
O’Connor呼吁对安全研究工作实施更完备的保护措施,如若不然,这些研究将很容易脱离研究人员的控制。
译者/Viki