June 21, 2019

公共网络上的个人隐私

公共网络上的个人隐私

近年来,多起诸如大数据杀熟,个人信息买卖,数据库泄露事件发生,个人隐私的安全不断地引起人们的注意,如何有效的保护个人信息安全成为了新的难题,而注重个人隐私安全也是用户需要注意的事情。

2019年的3.15晚会上,央视报道了使用WiFi探针功能窃取用户隐私的事件,只要用户的手机开启了WiFi功能,搜索身边的无线网络,就会被通过“某种手段”还原成用户画像,你的姓名,手机号,年龄,收入范围等个人信息将被对方采集,这一过程有点耸人听闻吧?那么WiFi功能是如何泄露个人信息的呢?

WiFi在主动扫描时,会主动发送自己的设备信息来询问附近是否有可用的WiFi热点,而这个设备信息中,包含了手机WiFi网卡的唯一设备标识符(mac),这个标识符的命名规则由各大厂家遵循,尽可能地会让每个物理设备都有唯一的标识符,而仅仅这一个mac标识符还不足以锁定机主的真实身份,更应该引起思考的是,谁提供了mac与机主绑定的个人信息?

今天,我们将通过一个网络实验,编写特定的数据包分析工具,来采集分析经由路由器的网络数据包,来看看在公开的网络环境中能采集到哪些数据吧。

Alt

我们首先利用WiFi功能分享网络给目标设备连接使用,并没有额外的接触目标设备或做了其他手脚。

之后我们在测试目标机中,启动QQ聊天软件,并随意登录一个不存在的账号。

Alt

点击登陆后,我们的分析工具已经获取到了目标想要登录的QQ。

Alt

可见,目标机器上的QQ号已经被获取到。

同样的,我们再连接一台Android手机,开启手机QQ并重复上述操作。

Alt

我们同样获取到了目标的QQ号码。

Alt

我们再随意的访问一些网址,诸如百度:

Alt

同样的,结果也没让我们失望,我们成功得知了目标想要访问的域名。

Alt

如果您之前早已熟练使用wireshark等嗅探工具,那么您对这些结果并不陌生,而在我们进行这个实验的期间,通过整体的数据分析,我们有了意外收获,因种种原因我们对接下来的发现做了去敏处理。

这份数据来自某个应用,他的一个网络请求成功的引起了我们的注意。

Alt

尽管请求数据已经被加密,但该请求使用了不安全连接,我们通过分析该应用,得知这个请求是一个广告分析的sdk发起的,该加密为对称加密,且密钥是固定的,下列代码中我们能看到使用的密钥是以base64格式记录在代码中:

Alt

通过使用代码中捕获的加密密钥,我们对HTTP请求做了一次解密。

Alt

解密后的数据我们可以清晰的看到其中包括但不限于:用户的IP、国家、语言、手机型号、运营商、各类设备标识符等。

这意味着所有集成了此sdk的用户都将被上传此些数据,我们不对采集的这些数据的合法性做评价,但值得注意的是,这个网络请求发生在第一次启动时,没有任何隐私政策提示给用户,这些数据已经被上传了。

我们假定这一切发生在公共网络中,由于采集数据方没有合理的加密这些数据,导致数据泄露给第三方,WiFi的主人或者黑客通过技术手段,即可获取这些数据,通过建立数据库,与其他地方收集的数据进行加工与比对,便可对机主有一定的了解。

而事实上,类似的广告、行为、统计分析不在少数,他们都在无时无刻的收集个人信息——当你打开APP时,全部是基于用户画像推荐的内容给你浏览,当你有购房意愿时,甚至会接听到楼盘的营销电话,当你相中了某件商品,准备付款时…

随着法律的不断健全,个人隐私的保护政策也将愈加的完善,而厂家们也开始注意防范这些细节,诸如高版本IOS系统上,手机主动搜索WiFi时,会使用随机的设备信息(mac),而高版本的Android系统(8.0开始)厂家也可以定制这个功能。越来越多的网站开始使用安全连接Https,这样传输的内容是加密的,无法被监控到访问的内容,而我们个人也要注意不要随意连接外面的公共网络,避免不必要的个人信息泄露。