研究人员说,NSO使用真实人的位置数据推销其联系跟踪技术

2020-12-31 01:10:51

NSO是一家以发展和出售政府使用其Pegasus间谍软件而闻名的私营情报公司,于今年早些时候进行了魅力攻势,推出了名为Fleming的联系追踪系统,旨在帮助政府追踪COVID-19的传播。 Fleming旨在允许政府从手机公司获取位置数据,以可视化并跟踪该病毒的传播。 NSO给了几个新闻媒体一个Fleming的演示,NSO称这可以帮助政府“在不损害个人隐私的情况下做出公共卫生决定。”

但是在5月,一位安全研究人员告诉TechCrunch,他发现了一个暴露的数据库,该数据库存储了NSO用来演示Fleming如何工作的数千个位置数据点,这与几周前的记者所看到的演示相同。

TechCrunch向NSO报告了明显的安全漏洞,后者很快保护了数据库的安全,但表示位置数据“不是基于真实的真实数据”。

NSO声称位置数据不是真实的,与以色列媒体的报道不同,后者说NSO使用从广告平台(称为数据经纪人)获得的电话位置数据来“训练”该系统。学术和隐私专家Tehilla Shwartz Altshuler(还获得了Fleming的演示)说,NSO告诉她,数据是从数据经纪人那里获得的,数据经纪人可以访问从安装在数百万部手机上的应用程序收集的大量汇总位置数据。

TechCrunch要求伦敦大学金史密斯分校的法医建筑研究所的研究人员进行调查,以研究和审查侵犯人权行为。研究人员在周三发表了他们的发现,认为暴露的数据很可能基于真实的电话位置数据。

研究人员说,如果数据是真实的,那么NSO“侵犯了”卢旺达,以色列,巴林,沙特阿拉伯和阿拉伯联合酋长国的32,000个人的隐私-据报道,这些国家都是NSO间谍软件的客户。

研究人员通过使用真实的人的位置数据来寻找他们期望看到的模式,例如在主要城市中的人口集中度,并测量个人从一个地方到另一个地方花费的时间,从而分析了暴露的电话位置数据的样本。 。研究人员还发现了与真实数据相关的空间不规则性,例如星型模式,这种模式是由于手机试图精确地确定其位置而导致的,而当卫星的视线被高楼大厦遮挡时,则是这种模式。

“我们样本中的空间'不规则性-真实移动位置轨迹的常见特征-进一步支持了我们对这是真实数据的评估。因此,数据集很可能不是“虚拟”或计算机生成的数据,而是反映实际个人的活动,可能是从电信运营商或第三方来源获得的。”研究人员说。

研究人员构建了地图,图形和可视化图来解释他们的发现,同时保留将位置数据输入到NSO的Fleming演示中的个人的匿名性。

移动网络安全专家加里·米勒(Gary Miller)是网络情报公司Exigent Media的创始人,他回顾了一些数据集和图表,并得出结论,这是真实的电话位置数据。

米勒说,人口中心附近的数据点数量增加了。他说:“如果在给定的时间点上绘制手机位置的散点图,则郊区与城市位置的点数将保持一致。”米勒还发现了人们一起旅行的证据,他说“看起来与真实的电话数据一致”。

他还说,即使是“匿名”位置数据集也可以用来讲述一个人的很多信息,例如他们的生活和工作地点以及访问者。他说:“只要查看位置移动模式,就可以了解有关个人的很多详细信息。”

他说:“如果将所有相似之处加在一起,将很难得出结论,这不是实际的移动网络数据。”

Citizen Lab的高级研究员John Scott-Railton表示,数据可能源自使用直接GPS数据,附近Wi-Fi网络和电话内置传感器的手机应用程序,这些应用程序试图提高手机的质量。位置数据。他说:“但这从来都不是完美的。” “如果您正在查看广告数据(例如您从数据经纪人那里购买的数据),则看起来很像这样。”

Scott-Railton还说,将模拟数据用于联系跟踪系统将“适得其反”,因为NSO会“希望对[Fleming]进行尽可能真实且具有代表性的数据培训”。

“根据我所看到的,法医建筑学提供的分析与Tehilla Shwartz Altshuler先前的陈述是一致的,” Scott-Railton说。他指的是这位学者,NSO告诉她这是基于真实数据的。

他说:“整个情况描绘了间谍软件公司的情况,他们再次变得敏感和可能包含个人信息。”

“我们没有看到预期的检查,不得不质疑如何得出这些结论。尽管如此,我们仍然坚持2020年5月6日的先前答复。该演示材料并非基于与受感染的COVID-19个人有关的真实和真实数据,”一位不愿透露姓名的发言人说。 (NSO之前的声明未提及COVID-19的个人。)

“正如我们最后的声明所详述,用于示威的数据不包含任何个人身份信息(PII)。而且,同样如前所述,该演示是基于混淆数据的模拟。 Fleming系统是一种工具,可以分析最终用户提供的数据,以在全球大流行期间帮助医疗保健决策者。 NSO不会为系统收集任何数据,NSO也无权访问所收集的数据。”

NSO没有回答我们的具体问题,包括数据来自何处以及如何获得。该公司在其网站上声称弗莱明“已经被世界各国经营”,但在被问到时拒绝证实或拒绝其政府客户。

以色列间谍软件制造商大力推动接触者追踪被视为修复其形象的一种方式,因为该公司正在与美国的一桩诉讼进行斗争,该诉讼可能会揭示出更多有关政府购买其Pegasus间谍软件的政府的信息。

NSO目前卷入了Facebook拥有的WhatsApp的诉讼中,该公司去年谴责NSO利用WhatsApp中未公开的漏洞感染了Pegasus的1400部电话,其中包括记者和人权捍卫者。 NSO表示,应代表政府行事,因此应享有法律豁免权。 但是微软,谷歌,思科和VMware本周提交了一份法庭之友书状以支持WhatsApp,并呼吁法院驳回NSO的豁免权主张。 在公民实验室发现证据表明NSO客户(包括沙特阿拉伯和阿拉伯联合酋长国)也将数十位新闻记者也定为Pegasus间谍软件目标之后不久,就举行了法庭之约。 NSO对调查结果提出异议。