欢迎来到永胜在线
国内最专业的科技资讯提供商

#SecTorCa:数百万电话通过Tor泄露信息

可能在数亿台设备上潜伏着隐私威胁,通过使用Tor网络泄露的信息,潜在的攻击者可以跟踪和分析用户,即使用户从一开始就没有故意安装Tor。

在一个会话部门安全会议在多伦多,加拿大10月10日,研究人员亚当Podgorski和Milind Bhargava来自德勤加拿大概述,并演示了先前未公开的研究他们如何能够确定个人身份信息(PII)是由数百万手机用户每天泄漏Tor。

具有讽刺意味的是,Tor是一种技术和网络,旨在帮助用户提供和支持匿名性。使用Tor,通信量通过许多不同的网络跳转到达最终的出口点,希望屏蔽通信量的来源。Podgorski说,有些用户选择在他们的移动设备上安装Tor浏览器,但这不是问题所在。问题是,Tor是在用户不知情的情况下由移动应用程序安装的,这可能会将用户置于危险之中。

研究人员解释说,他们设置了几个Tor出口节点,只是为了看看他们能找到什么,结果令人惊讶。研究人员发现,大约30%的Android设备通过Tor传输数据。

“你现在可能在挠头,就像我们几个月前一样,因为那没有任何意义,”Podgorski说。“三分之一的安卓用户不可能知道Tor是什么,而且还在使用它。”

研究人员确定的是Tor被捆绑、嵌入和安装在其他应用程序中,而用户并不知道它的存在。研究人员并不完全清楚为什么Tor与如此多的应用程序捆绑在一起。波德格斯基说,这可能是由于对该技术及其使用方式的误解。苹果IOS设备上也有Tor,但数量更少,只有大约5%的设备发送数据。

跟踪用户

在一系列演示中,包括Bhargava展示的实时仪表盘,研究人员展示了他们从无意中使用Tor的移动用户那里收集到的数据。这些数据包括GPS坐标、网址、电话号码、按键和其他PII。

“这些数据可以用来建立一个健全的个人档案,”Podgorski说。

Bhargava解释说,研究人员故意设置的出口节点试图强迫浏览器不使用加密版本的网站,迫使设备在可能的情况下定期使用HTTP。由于数据不需要加密就可以到达出口节点,因此研究人员可以看到用户数据。Bhargava指出,对于那些强制使用HTTPS加密,并且不提供任何常规非加密HTTP备份选项的站点,它们将无法看到用户数据。

同样值得注意的是,Bhargava承认他在数据中发现了自己的电话号码,这让他很吃惊,因为他没有在自己的设备上安装Tor。他手机上只有运营商安装的应用程序。

需要做几件事来解决这个问题。波德格尔斯基说,首先是要意识到存在的问题,这也是这项研究要向立法者、政府和组织强调的问题。对于用户来说,Podgorski强调需要采用良好的操作安全实践,在任何地方都要使用加密。

在Podgorski看来,移动应用程序PII数据泄露已经暴露了一个法律合规风险。

“我们非常确定,我们发现的是在多个层面上违反了GDPR,”他说,“但问题是,如果政府没有意识到,他们就无法执行法律。”

历史上的今天
十月
15
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » #SecTorCa:数百万电话通过Tor泄露信息
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们