西方健身軟件再曝泄密隱患

本報(bào)特約記者 張亦馳 魏云峰

繼Strava健身軟件的“全球熱力圖”泄露美俄海外軍事基地事件之后，另一款健身軟件8日再曝泄密事件。荷蘭新聞網(wǎng)站DeCorrespon?dent和開源調(diào)查網(wǎng)站Bell?ingcat的共同調(diào)查發(fā)現(xiàn)，在西方廣泛使用的一款健身應(yīng)用程序泄露了用戶的各種信息，可以輕易發(fā)現(xiàn)在軍事基地、間諜機(jī)構(gòu)工作的敏感人員個(gè)人資料。專家表示，盡管這款健身軟件目前在國內(nèi)使用尚不算普遍，但接連發(fā)生的泄密事件顯示，防止健身手環(huán)、運(yùn)動(dòng)手表這類可穿戴電子設(shè)備和相關(guān)健身軟件的大數(shù)據(jù)泄密，必須提上議事日程。

“網(wǎng)上找間諜”

報(bào)道稱，芬蘭“極地”公司是西方流行的健身軟件“極地流動(dòng)”的開發(fā)商。后者通過該公司生產(chǎn)的多型便攜式設(shè)備，可以記錄和上傳用戶的體重、運(yùn)動(dòng)軌跡等信息。但調(diào)查發(fā)現(xiàn)，通過該軟件記錄的鍛煉信息，足以識別出在軍事基地和政府大樓工作人員的姓名、住址等詳細(xì)資料，包括那些“參與打擊‘伊斯蘭國的戰(zhàn)斗機(jī)飛行員”。

調(diào)查發(fā)現(xiàn)，只需要從“極地流動(dòng)”軟件中獲取“開發(fā)者文檔”，相關(guān)人員不僅可以瀏覽用戶共享的公共數(shù)據(jù)，還可以得到那些將個(gè)人資料設(shè)置為隱私的用戶的健身蹤跡信息，這些信息涉及數(shù)百萬使用該軟件的用戶。

據(jù)介紹，要查閱這些個(gè)人信息并不難——只需要找到一個(gè)已知的軍事基地或政府部門，選擇一個(gè)曾在附近發(fā)布過鍛煉信息的用戶來識別相關(guān)的個(gè)人簡介，然后看看這個(gè)人還在哪里鍛煉過。由于人們傾向于到家時(shí)關(guān)閉或離家時(shí)啟動(dòng)健身追蹤器，這種習(xí)慣無意中在地圖上標(biāo)記出自己的家庭住址。另外，用戶經(jīng)常在個(gè)人資料中使用全名，并附有自己的資料圖片。利用這些信息，就可以交叉確認(rèn)用戶的全名、家庭住址、工作地點(diǎn)以及習(xí)慣的行進(jìn)路線等。

由于沒有限制，調(diào)查人員已經(jīng)確定超過6400名被認(rèn)為在敏感地點(diǎn)工作的用戶。報(bào)道稱，調(diào)查記者輕易地找到美國國家安全局、美國特勤局、英國軍情六處以及俄羅斯、法國、荷蘭多家情報(bào)機(jī)構(gòu)工作的人員姓名和地址。該數(shù)據(jù)還可以識別核儲(chǔ)存設(shè)施、導(dǎo)彈發(fā)射井、監(jiān)獄和關(guān)塔那摩等地的工作人員。用這個(gè)方法，在美國敏感政府所在地附近工作的外國軍事和情報(bào)人員的信息也同樣暴露無遺。“外國情報(bào)機(jī)構(gòu)或心懷惡意者同樣容易得到相同的數(shù)據(jù)”，不難想象極端分子或外國情報(bào)部門如何以危險(xiǎn)的方式利用這些信息，尤其是那些有關(guān)多個(gè)核武器儲(chǔ)存地點(diǎn)人員的數(shù)據(jù)。

即便對于普通用戶，這些個(gè)人信息的泄露也構(gòu)成風(fēng)險(xiǎn)，因?yàn)閼延袗阂獾娜丝梢允褂迷撥浖榭茨硞€(gè)地區(qū)的用戶何時(shí)離開家或離開多長時(shí)間。

今年第二起泄密事件

盡管報(bào)道指責(zé)“極地”公司允許用戶查看特定個(gè)人的所有鍛煉信息是導(dǎo)致這次泄密事件的根源，不過該公司顯然不想“背鍋”。報(bào)道稱，在一份聲明中，“極地”公司表示已暫停相關(guān)功能，但否認(rèn)有任何信息泄露。

實(shí)際上，確實(shí)也很難讓軟件開發(fā)商為這類事件“買單”。專家表示，這已經(jīng)是今年第二起因?yàn)榻∩碥浖l(fā)的潛在敏感信息泄露事件了。在今年初發(fā)生的Strava健身軟件的“全球熱力圖”泄密事件中，由于該軟件可以記錄全球2700萬使用者上傳的每一次健身活動(dòng)和移動(dòng)情況，并將這些信息分享給他人，結(jié)果一系列隱秘的軍事基地在“全球熱力圖”上暴露無遺。通過對海量數(shù)據(jù)的綜合，該軟件曝光了美俄等國的軍事基地、秘密設(shè)施和軍事巡邏路線。“如果士兵像一般人一樣使用該應(yīng)用，他們的鍛煉路線就會(huì)被清晰地追蹤到，這對于軍人而言是相當(dāng)危險(xiǎn)的?！钡幢闳绱?，相關(guān)廠商沒有受到懲罰，只是關(guān)閉相關(guān)服務(wù)了事。

中國怎么辦？

這兩起讓西方大為震動(dòng)的泄密事件主要是因?yàn)榻∩響?yīng)用獲取的眾多用戶位置信息容易被得到和分析，盡管單個(gè)數(shù)據(jù)還不足以構(gòu)成泄密風(fēng)險(xiǎn)，但是對大量數(shù)據(jù)的分析，就可能暴露很多敏感信息。上次是用戶的“熱力圖”暴露了秘密的軍事基地，此次則是通過敏感單位地址，找到在這些單位工作的軍事人員或情報(bào)人員。

值得警惕的是，目前國內(nèi)的健身應(yīng)用程序和硬件也越來越普及，相關(guān)軟硬件的開發(fā)商應(yīng)該在技術(shù)上做好防范，防止大數(shù)據(jù)泄露導(dǎo)致的泄密風(fēng)險(xiǎn)，杜絕發(fā)生類似的事件。

對于軍方來說，也必須要把防范個(gè)人可穿戴電子設(shè)備、手機(jī)的位置信息泄密提上議事日程。專家表示，對此可以分步進(jìn)行，比如先對現(xiàn)有的運(yùn)動(dòng)手環(huán)和運(yùn)動(dòng)應(yīng)用甚至是手機(jī)采取審核準(zhǔn)入機(jī)制，軍人只能使用經(jīng)過審核的相關(guān)軟硬件。美國國防部就已采取類似的措施。其次，適時(shí)研發(fā)適合軍人使用的手機(jī)，考慮取消攝像攝影、位置共享等。第三，對于極為敏感的崗位人員，要嚴(yán)格限制在工作地點(diǎn)使用智能手機(jī)?！?/p>