NSA告诉手机用户,要当心查找我的手机、Wi-Fi和蓝牙

2020-08-05 05:36:00

美国国家安全局(National Security Agency)建议,一些政府工作人员和通常关心隐私的人在不需要手机查找、Wi-Fi和蓝牙服务的时候关闭这些服务,并限制应用程序使用位置数据。

周二发布的一份公告称:“位置数据非常有价值,必须加以保护。”它可以显示有关位置中的用户数、用户和供应移动、日常工作(用户和组织)的详细信息,还可以显示用户和位置之间的未知关联。

美国国家安全局官员承认,地理定位功能是按设计启用的,对移动通信至关重要。官员们还承认,推荐的保障措施对大多数用户来说是不切实际的。地图,丢失或被盗手机的位置跟踪,自动连接到Wi-Fi网络,以及健身跟踪器和应用程序,这些只是需要精细定位才能工作的几件事。

但这些功能是有代价的。对手可能能够利用应用程序开发者、广告服务和其他第三方从应用程序接收的位置数据,然后将其存储在海量数据库中。对手还可能订阅Securus和LocationSmart提供的服务,这两项服务分别由“纽约时报”和“KrebsOnSecurity”记录。这两家公司要么跟踪了主要移动运营商的手机发射塔收集的客户位置,要么出售了这些客户的位置。

LocationSmart不仅将这些数据泄露给了任何知道利用常见网站漏洞的简单诀窍的人,而且一名副记者还能够通过支付300美元购买另一项服务来获得手机的实时位置。“纽约时报”也发表了这一发人深省的特写,概述了使用移动位置数据在较长时间内跟踪数百万人的历史的服务。

该咨询还警告说,即使在手机服务关闭的情况下,跟踪也经常发生,因为Wi-Fi和蓝牙都可以跟踪位置,并将它们发送给连接到互联网或使用无线电范围内的传感器的第三方。

不活跃时禁用无线电:如果不需要这些功能,请禁用BT并关闭Wi-Fi。当设备不在使用时,使用飞机模式。确保在进入飞行模式时禁用BT和Wi-Fi。

应用程序应该被授予尽可能少的权限:如果可能的话,避免使用与位置相关的应用程序,因为这些应用程序本身就会暴露用户的位置数据。如果使用,此类应用程序的位置隐私/权限设置应设置为不允许使用位置数据,或者最多仅允许在使用应用程序时使用位置数据。与位置相关的应用程序有地图、指南针、交通应用程序、健身应用程序、查找当地餐厅的应用程序和购物应用程序。

尽可能禁用广告权限:设置隐私设置以限制广告跟踪,请注意这些限制由供应商自行决定。

定期重置设备的广告ID。至少,这应该每周进行一次。

关闭允许跟踪丢失、被盗或放错位置的设备的设置(通常称为“查找我的设备”或“查找我的设备”设置)。

尽可能减少设备上的Web浏览,并将浏览器隐私/权限位置设置设置为不允许使用位置数据。

如果可能,尽量减少存储在云中的位置信息的数据量。

如果不透露特定任务的位置非常重要,请考虑以下建议:

在开始任何活动之前,确定可以保护具有无线功能的设备的非敏感位置。确保不能从这个位置预测任务地点。

将所有具有任何无线功能的设备(包括个人设备)留在此非敏感位置。如果设备已被破坏,则关闭设备可能是不够的。

对于任务运输,请使用没有内置无线通信功能的车辆,或在可能的情况下关闭这些功能。

美国国家安全局(NSA)前黑客、MacOS和iOS安全专家帕特里克·沃德尔(Patrick Wardle)表示,这些建议是一个“很好的开始”,但遵循这些建议的人不应该认为它们接近绝对保护。

“只要你的手机连接到手机发射塔,为了使用手机网络,它就必须连接到手机发射塔上……。AFAIK会暴露你的位置,“Wardle告诉我,他是MacOS和iOS企业管理公司JAMF的安全研究员。“一如既往,这是功能/可用性和安全性之间的权衡,但基本上如果你使用手机,假设你可以被追踪。”

他说,iOS的最新版本使得遵循许多建议变得很容易。用户第一次打开应用程序时,会得到一个提示,询问他们是否希望该应用程序接收位置数据。如果用户选择是,则只有在应用程序打开时才能进行访问。这将防止应用程序在较长时间内在后台收集数据。IOS在随机化MAC地址方面也做得很好,当MAC地址处于静态状态时,会为每台设备提供唯一标识符。

较新版本的Android也允许相同的位置权限,并且当在特定硬件上运行时(通常需要额外费用),还会随机分配MAC地址。

这两个操作系统都需要用户手动关闭广告个性化并重置广告ID。在iOS中,人们可以在设置&>隐私&>广告中做到这一点。应打开限制广告跟踪的滑块。滑块正下方是重置广告标识符。按它并选择重置标识符。在隐私部分,用户应该查看哪些应用程序可以访问位置数据。确保拥有访问权限的应用程序越少越好。

在Android 10中,用户可以通过进入设置&>隐私并点击广告来限制广告跟踪和重置广告ID。重置广告ID和选择退出广告个性化都在那里。要查看哪些应用程序可以访问位置数据,请转到设置>;应用程序&;通知>;高级&>权限管理器&>位置。Android允许应用程序连续或仅在使用时收集数据。只允许真正需要位置数据的应用程序具有访问权限,然后尝试将访问权限限制为仅在使用时访问。

周二的建议还建议人们在发布照片之前,限制在社交媒体和显示敏感位置的远程元数据中分享位置信息。美国国家安全局还警告说,汽车导航系统、健身设备等可穿戴设备和物联网设备正在泄露位置数据。

该建议主要针对位置数据可能危及行动或将他们置于个人风险中的军事人员和承包商。但是,只要其他人考虑他们的威胁模型,并权衡可接受的风险和各种设置的好处,这些信息就可能对他们有用。