公共网络上的个人隐私

近年来，多起诸如大数据杀熟，个人信息买卖，数据库泄露事件发生，个人隐私的安全不断地引起人们的注意，如何有效的保护个人信息安全成为了新的难题，而注重个人隐私安全也是用户需要注意的事情。

2019年的3.15晚会上，央视报道了使用WiFi探针功能窃取用户隐私的事件，只要用户的手机开启了WiFi功能，搜索身边的无线网络，就会被通过“某种手段”还原成用户画像，你的姓名，手机号，年龄，收入范围等个人信息将被对方采集，这一过程有点耸人听闻吧？那么WiFi功能是如何泄露个人信息的呢？

WiFi在主动扫描时，会主动发送自己的设备信息来询问附近是否有可用的WiFi热点，而这个设备信息中，包含了手机WiFi网卡的唯一设备标识符（mac），这个标识符的命名规则由各大厂家遵循，尽可能地会让每个物理设备都有唯一的标识符，而仅仅这一个mac标识符还不足以锁定机主的真实身份，更应该引起思考的是，谁提供了mac与机主绑定的个人信息？

今天，我们将通过一个网络实验，编写特定的数据包分析工具，来采集分析经由路由器的网络数据包，来看看在公开的网络环境中能采集到哪些数据吧。

我们首先利用WiFi功能分享网络给目标设备连接使用，并没有额外的接触目标设备或做了其他手脚。

之后我们在测试目标机中，启动QQ聊天软件，并随意登录一个不存在的账号。

点击登陆后，我们的分析工具已经获取到了目标想要登录的QQ。

可见，目标机器上的QQ号已经被获取到。

同样的，我们再连接一台Android手机，开启手机QQ并重复上述操作。

我们同样获取到了目标的QQ号码。

我们再随意的访问一些网址，诸如百度：

同样的，结果也没让我们失望，我们成功得知了目标想要访问的域名。

如果您之前早已熟练使用wireshark等嗅探工具，那么您对这些结果并不陌生，而在我们进行这个实验的期间，通过整体的数据分析，我们有了意外收获，因种种原因我们对接下来的发现做了去敏处理。

这份数据来自某个应用，他的一个网络请求成功的引起了我们的注意。

尽管请求数据已经被加密，但该请求使用了不安全连接，我们通过分析该应用，得知这个请求是一个广告分析的sdk发起的，该加密为对称加密，且密钥是固定的，下列代码中我们能看到使用的密钥是以base64格式记录在代码中：

通过使用代码中捕获的加密密钥，我们对HTTP请求做了一次解密。

解密后的数据我们可以清晰的看到其中包括但不限于：用户的IP、国家、语言、手机型号、运营商、各类设备标识符等。

这意味着所有集成了此sdk的用户都将被上传此些数据，我们不对采集的这些数据的合法性做评价，但值得注意的是，这个网络请求发生在第一次启动时，没有任何隐私政策提示给用户，这些数据已经被上传了。

我们假定这一切发生在公共网络中，由于采集数据方没有合理的加密这些数据，导致数据泄露给第三方，WiFi的主人或者黑客通过技术手段，即可获取这些数据，通过建立数据库，与其他地方收集的数据进行加工与比对，便可对机主有一定的了解。

而事实上，类似的广告、行为、统计分析不在少数，他们都在无时无刻的收集个人信息——当你打开APP时，全部是基于用户画像推荐的内容给你浏览，当你有购房意愿时，甚至会接听到楼盘的营销电话，当你相中了某件商品，准备付款时…

随着法律的不断健全，个人隐私的保护政策也将愈加的完善，而厂家们也开始注意防范这些细节，诸如高版本IOS系统上，手机主动搜索WiFi时，会使用随机的设备信息（mac），而高版本的Android系统（8.0开始）厂家也可以定制这个功能。越来越多的网站开始使用安全连接Https，这样传输的内容是加密的，无法被监控到访问的内容，而我们个人也要注意不要随意连接外面的公共网络，避免不必要的个人信息泄露。

#Research #中文