解讀美國國家安全局《限制位置數據暴露》指南
2020年6月,史前最嚴重的規模最大的一次有關臺灣省2000萬個人數據泄漏的報道震驚了網絡安全界,數據泄露成為2020最為熱議的話題。而就在兩月后,8月,美國國家安全局(National Security Agency )發布了一份《限制位置數據暴露》指南(以下簡稱指南),以指導國家安全系統(NSS)和美國國防部(DoD)及其他國家安全部門的工作人員,如何在使用移動物聯網設備、社交媒體或移動應用程序時降低共享敏感位置數據有關的風險。該指南概述了移動物聯網設備如何公開位置數據,說明了使用它們帶來的潛在網絡安全風險,并提供降低安全風險的建議。
一、《指南》發布背景
在數月來的美國抗議警察暴行和種族不公正的抗議活動中,這份指導方針得以提出。盡管該指南針對的是美國聯邦政府用戶,但由于人們越來越擔心執法機構在抗議期間追蹤人群,因此該指南可能具有廣泛的吸引力。美國國家安全局的首要任務之一是為美國軍方和情報界提供信號情報,所以他是非常熟悉如何跟蹤世界各地的手機位置的,由NSA來發布的這份指導性建議,足以看出限制位置數據泄漏的重要性非比尋常。
這并不是 NSA 首次對現代設備的定位技術產生日益增加的風險顧慮。早在2018年,美國軍方就意外發現軍人的數字健康追蹤設備(Fitbit)正在泄漏他們的位置,包括他們所處的位置以及他們附近的軍事基地和世界各地的機密場所。而且這種泄密的危險并不僅限于Fitbit和類似的健康追蹤設備。由此,美國軍方更加重視位置數據泄漏帶來的風險,在過去兩年,美國國防部就禁止員工使用任何具有位置追蹤功能的設備,包括智能手機、智能手表、以及健身手環等。從這些蛛絲馬跡也不難看出,該份指導性建議指南并不是空穴來風,應該是美國軍方對于位置數據泄漏帶來安全風險長期關注后的一項舉動,也是對美國聯邦政府用戶的一種警示。
二、主要內容概述
在過去的十年中,從智能手機到平板電腦再到健身追蹤器的移動設備已經與許多人交織在一起,帶來了許多好處,并且變得幾乎不可或缺。但是,好處和便利可能要付出代價。移動設備通過設計存儲和共享有價值的位置數據。該數據可以揭示有關位置中的用戶數量,用戶活動,日常工作的詳細信息,并可以揭示用戶和位置之間其他未知的關聯。由于手機固有地信任蜂窩網絡和提供商,因此手機在開機后便開始公開位置數據。從全球定位系統(GPS)到無線信號(Wi-Fi)或藍牙連接的設備位置數據可能會在未經用戶或提供商同意的情況下被他人獲取。任何發送和接收無線信號的設備都具有與手機類似的位置風險,包括物聯網(IoT)設備,車輛以及名稱中包含“智能”的許多產品。每個用戶必須評估他們愿意接受的有關位置跟蹤的風險級別。該指南為那些對位置敏感的人以及任務指示他們不得透露自己位置的人提供緩解措施。
(一)移動物聯網設備暴露位置信息的風險極大
NSA這份內部指南認為,使用移動設備 —— 甚至僅僅是打開設備的電源 —— 都有暴露位置數據的風險。移動設備對蜂窩網絡和通訊服務提供商有著天生的依賴,并且會在每次連接網絡時報送實時位置信息,這意味著服務提供商可以對用戶展開大范圍的追蹤。在某些情況下,比如 911 通話,此功能或許可以幫助挽救生命。但對位置信息敏感的人員來說,如果攻擊者以某種方式影響或控制服務提供商,反而會招致不必要的風險。
即使沒有提供商的合作,也可以從移動設備獲取位置數據。當連接到蜂窩網絡時,這些設備傳輸識別信息。商業上可獲得的流氓基站允許當地的任何人廉價而容易地獲得實時位置數據和跟蹤目標。這種流氓基站很難與合法基站區分,如果它的信號最強,移動設備會自動嘗試連接到它。此外,位置數據一直存儲在移動設備上。而可以利用過去的位置信息來預測未來的位置。其他風險的例子還有:網站使用瀏覽器指紋來獲取位置信息,Wi-Fi接入點和藍牙功能傳感器也可以泄露位置信息。
(二)關閉和禁用定位功能,仍然可能暴露位置信息
指南中強調,用戶即便禁用定位服務功能,但仍可能暴露位置信息。這里需要說明定位服務并不等同于全球定位系統(GPS)。而這一點往往很多人會弄混淆。移動設備將地理位置數據作為應用程序的服務,這稱為定位服務,而用戶可以選擇禁用。但禁用定位服務并不是關閉GPS,只是限制了應用程序對于GPS和位置數據的訪問,而操作系統仍然能夠使用位置數據或者是將位置數據傳輸到網絡。甚至于,即便GPS都不可用了,但移動設備還可以使用Wi-Fi和/或藍牙功能來計算位置信息,應用程序和網站也可以使用其他傳感器數據(不需要用戶權限)和web瀏覽器信息來獲取或推斷位置信息。
另一種情況,移動設備上的通信服務關閉的時候,Wi-Fi和藍牙功能也可以用來確定用戶的位置。即使在用戶使用無線服務不是很活躍的情況下,不顯眼的設備(如無線嗅探器)都可以確定信號強度和計算位置。甚至禁用了所有的無線電,設備上的大量傳感器也會提供足夠的數據來計算位置。而在一些設備上完全禁用藍牙功能是不太可能的。當通信恢復時,已經保存的信息也可以傳輸到網絡。有的移動設備已被破壞,但是這些設備仍然可以存儲或傳輸位置數據,即使位置設置或所有無線功能已被禁用。
(三)安全風險并不局限于移動物聯網設備
該指南指出,任何發送和接收無線信號的設備都有類似于移動設備的位置風險。這包括但不限于健身追蹤器、智能手表、智能醫療設備、物聯網設備以及內置的汽車通信。個人和家庭智能設備(例如,燈泡、炊具、恒溫器、家庭安全裝置等)往往包含用戶沒有意識到的無線功能。這類物聯網設備可能很難確保安全,大多數設備無法關閉無線功能,而且幾乎沒有內置安全性。這些安全和隱私問題可能導致這些設備收集并暴露所有進入物聯網設備范圍的設備的敏感位置信息。如果用戶或用戶所在的服務器受到威脅時,自動同步到云賬戶的數據中包含的地理位置信息也可能帶來位置數據暴露的風險。
另一種風險來源于應用程序(APP),即使安裝已批準的應用程序商店里的APP,也可能會收集、聚集和傳輸暴露用戶位置的信息。許多應用程序請求位置和其他資源的權限,而這對應用程序的功能來說是不需要的。與位置信息有利害關系的用戶在社交媒體上分享信息時應該格外小心。如果社交媒體網站的隱私設置出現錯誤,信息可能會暴露給比預期更多的受眾。發布在社交媒體上的照片可能隱藏著位置數據。即使沒有明確的位置數據,照片也可以通過照片內容顯示位置信息。
(四)該指南給出具體指導性建議以限制位置數據的暴露
根據用戶愿意接受的暴露自己位置的風險程度,在該份指南中,NSA公布了一些措施,以降低用戶在使用移動設備和應用程序時暴露自己位置的風險。該指南建議位置數據敏感的人群可以采取以下緩解措施來限制位置數據的暴露:
· 禁用設備上的位置服務設置;
· 禁用藍牙功能和關閉Wi-Fi(如果這些功能是不必要的);
· 當設備不使用時,開啟飛行模式并且確保在飛行模式下禁用藍牙(BT)和Wi-Fi;
· 給應用程序盡可能少的權限;
· 設置隱私設置,以確保應用程序未使用或共享位置數據;
· 盡可能禁用廣告許可;
· 關閉可以跟蹤丟失、被盜的設備的設置(通常稱為FindMy或Find My Device設置);
· 盡可能減少設備上的網絡瀏覽,并設置瀏覽器隱私/權限位置設置為不允許使用位置數據;
· 使用匿名虛擬專用網絡(VPN)來幫助掩蓋位置;盡可能減少存儲在云中的位置信息的數據量。
參與關鍵任務的美國軍事和情報人員需要付出更多的努力來隱藏他們的位置,該指南建議他們采取以下額外措施:在開始任何活動之前,請確定可以保護具有無線功能的設備處于非敏感位置并確保無法從此位置預測任務站點;將所有具有無線功能的設備(包括個人設備)放在這個不敏感的位置;對于任務運輸,使用沒有內置無線通信功能的車輛,或者盡可能關閉這些功能。
三、認識與思考
(一)物聯網設備安全問題堪憂,值得引起多方重視
該指南指出任何發送和接收無線信號的設備都有一定的安全風險。這類物聯網設備可能很難確保安全,大多數設備無法關閉無線功能,而且幾乎沒有內置安全性。然而現實情況似乎更加殘酷。隨著物聯網和通信技術的發展,相關研究表明物聯網設備已經成為最容易受到網絡攻擊的對象,在暴露用戶的隱私和安全,同時也可能受到大規模網絡攻擊,造成重大經濟損失。
2018年8月,臺積電三座12寸晶圓廠生產線遭WannaCry的變種病毒入侵,損失逾千萬美元。物聯網僵尸網絡也在瘋狂增長,臭名昭著的Mirai 物聯網僵尸網絡在2018年一季度至2019年一季度間幾乎翻了一番。今年6月,美國國土安全局、網絡安全和基礎設施安全局(CISA)發布了關于新發現的數十個安全漏洞的通告,稱漏洞影響全球500余個廠商生產的數十億物聯網設備,這一事件堪稱有史以來物聯網安全最為嚴重的事故。這些漏洞是以色列網絡安全公司JSOF 研究人員發現的,研究人員在Treck 開發的底層TCP/IP 軟件庫中發現了19個安全漏洞,研究人員將這些漏洞稱之為——Ripple20。由于嚴重安全漏洞影響了Treck TCP/IP堆棧,全球數億臺(甚至更多)IoT設備可能會受到遠程攻擊。這一漏洞影響各行各業,波及家用/消費設備、醫療保健、數據中心、企業、電信、石油、天然氣、核能、交通運輸以及許多其他關鍵基礎架構。以上這些案例只不過是物聯網設備安全問題的冰山一角,物聯網設備安全已經日益嚴峻,值得多方重視。
(二)泄漏位置數據的重要原因之一是應用程序在無授權情況下訪問傳感器
該指南中重點強調即使用戶禁用定位服務功能,甚至是全球定位系統(GPS)都不可用了,移動設備也可以追蹤用戶位置,同樣會有泄漏的風險。并且指南中專門提到,泄漏的風險還可能源于應用程序(APP),即使是從合法的應用商店里下載安裝的應用程序仍然有泄漏數據信息的風險。限于該指南重點在于提出問題并給出指導性建議,所以在指南中并為此做更多的分析。而通過參考文獻,我們探出了真正的原因。
這種安全隱患來自于移動設備裝配了一系列傳感器,當然并不僅僅是GPS和通信接口,陀螺儀和加速計也能夠對手機的拿取方式以及其它動作進行追蹤。移動設備中安裝的應用程序(App)能夠借助這些傳感器來執行用戶無法預知的任務,比如說追蹤用戶在城市街道中的運動等。大多數人認為關閉移動設備的定位服務就能夠阻止這種監視,但是App卻可以逃避這種限制。多年來已經發生了許多借助不同方式進行的攻擊,移動設備可以說是黑客攻擊的完美目標。它們內部充斥著傳感器,通常至少含有加速器、陀螺儀、磁力計、氣壓計、麥克風、攝像頭、溫度計、計步器、光傳感器和濕度傳感器。
正是這些傳感器給那些惡意軟件留下了可鉆的空子。這是因為一些App能夠在不需要用戶同意的情況下直接訪問大多數傳感器。通過將兩個或者兩個以上傳感器的內容進行組合,就有可能讓黑客做出一些用戶、移動設備設計者和App研發者意料之外的事情。比如,一款App能夠觀察到用戶的前進方向,這款App還能夠借助手機的陀螺儀記錄用戶在前行過程中轉彎角度的順序。而加速器則能表明用戶是停止還是前進狀態。通過一系列轉彎角度的測量就能夠制作出用戶的行動路線圖。
(三)該指南的發布只是美國應對物聯網安全的縮影,其背后是美國聯邦政府意識到物聯網安全問題的嚴重性而做出的種種規劃與布局
從美國國防部禁止員工使用任何具有位置追蹤功能的設備,到美國國家安全局正式發布《限制位置數據泄漏》的指南,這只是美國應對物聯網飛速發展,帶來網絡安全風險的一個很小的舉措。其背后是美國聯邦政府意識到物聯網安全問題的嚴重性,從立法、標準、技術多方面,各維度積極推進針對物聯網安全的各項措施,做出的種種規劃與布局。
在物聯網安全立法方面,美國國會不斷完善物聯網安全法案,提出更加合理的安全指導方針。早在2016年,惡意軟件Mirai攻擊物聯網設備事件,導致了幾個熱門網站發生癱瘓,并由此引發了人們對物聯網(IoT)設備安全需求的關注。自那以后,美國國會一直試圖通過有關物聯網安全的立法。2017年參議員向國會提交《2017物聯網網絡安全改進法》,希望通過設定聯邦政府采購物聯網設備安全標準,來改善美政府所面臨的物聯網安全問題。在2019年,美國國會再次提出《物聯網網絡安全改進法案》,該法案并沒有像2017年的法案那樣,試圖明確規定如何保護聯網設備。相反,它的目標是建立一個框架,政府可以使用這個框架來確定安全聯網設備所需的特征的清單。該法案改進的地方是,將確定安全設備要求的任務分配給了熟知技術的美國國家標準與技術研究所(NIST)。然后將由管理和預算辦公室(OMB)來指導聯邦機構如何采用NIST的指南。這種分兩步走的方法將更靈活地制定機構的安全標準,因為NIST制定強有力的標準,OMB也可能要求一些聯邦機構根據自身安全保密的等級忽略部分標準,例如國家公園管理局可能不需要與國防部同樣的安全指南。良好的安全性是一個持續的處理過程,而不是你可以設置好后就置于腦后的東西。這也是該改進法案更出色的地方,該法案要求NIST每五年評估一次設備安全性并更新政府的標準。
在物聯網安全標準方面,美國國家標準與技術研究所NIST持續出臺更加細致的標準與細則,構建物聯網設備安全防線。近年來,美國國家標準與技術研究所(NIST)已多次向美國政府提交關于物聯網安全的解決方案,為美國政府機關、設備供應商、服務提供商提供指引。2019年6月,NIST發布內部報告《物聯網管理安全與隱私保護框架》(NISTIR8228),指出物聯網設備的用戶在物聯網安全中尤為重要,并且用戶需要意識到物聯網設備的安全風險,并為此做好緩解計劃。這份報告也指出,客戶和廠商之間也要建立強大的溝通渠道,尤其是針對網絡安全的功能以及安全控制的預期方面。2020年5月NIST在此基礎上,出臺更加細致的標準《物聯網設備網絡安全能力核心基準》(NISTIR 8259A)。該基準定義了物聯網設備網絡安全能力的核心基準,介紹六方面的物聯網設備網絡安全能力,其中包括設備識別、設備配置、數據保護、接口的邏輯訪問、軟件更新以及網絡安全狀態感知。為物聯網設備網絡安全能力提供了最低基準線,為使用者提供一般性參考,為其他組織定義更適合自身物聯網設備的安全措施提供了安全基準保障。
在物聯網安全技術方面,美國國防部高級研究計劃局推動多個項目來防范物聯網安全風險。為了應對物聯網等技術飛速發展帶來的網絡安全風險,美國國防部高級研究計劃局(DARPA)啟動了多個項目來進行防范,且這些項目的預算投入也相對較大。例如,快速攻擊檢測隔離和表征系統項目(Rapid Attack Detection,Isolation and Characterization Systems,RADICS),該項目的應用對象就是能源部門關鍵系統(包括了大量的物聯網設備),旨在開發這些關鍵系統遭受網絡攻擊之際,可使美國電網恢復正常的自動化系統。極端分布拒絕服務防御(Extreme Distributed Denial of Service Defense,XD3)項目的一個重要目標就是對抗物聯網僵尸網絡,構建一種新型的計算機聯網架構。利用模擬域實現安全性( Leveraging the Analog Domain for Security,LADS) 項目的目標對象就是那些自身資源較少的輕量級物聯網設備,另辟蹊徑通過側信道信號來監測系統,實現系統設備與安全監測功能的分離。另一方面從DARPA 2018年至2020年在上述項目的財務預算投入中,也能反應美國軍方對物聯網設備安全的重視程度。(其中RADICS項目投入8470萬美元,XD3項目投入3789萬美元,LADS項目投入4400萬美元。)
