細思極恐 麥克風竊取用戶隱私背后技術是這個

　　4月20日消息，據國外《連線》媒體報道，哪怕是已經確立的行業標準，如，藍牙和WPA2 Wi-Fi安全協議，近幾個月都曾被曝光存在漏洞和不完備之處，這已引發負面影響、甚至可能造成破壞性后果。由于缺乏統一的架構和執行標準，一些無線通信技術，如，超聲波通信技術，存在著不容忽視的隱患。

　　設備跟蹤這一用途讓超聲波技術壞了名聲。在設備跟蹤過程中，該技術讓一些應用得以訪問用戶的智能手機，并收聽廣告、網站、甚至實體店中出現的無聲“信標”。近日在舊金山舉辦的RSA安全會議中，研究者分享了超聲波通信技術的現狀以及隱患。

　　加州大學圣芭芭拉分校的移動和網絡安全研究者喬瓦尼·維格納(Giovanni Vigna)和倫敦大學學院博士研究員瓦西利奧斯·馬維魯迪斯(Vasilios Mavroudis)表示，由于一些隱私監督機構提出的強烈抗議以及數年前美國聯邦貿易委員會發起的一次有力調查，超聲波用于跨設備跟蹤的現象并未廣泛出現，但當然也尚未徹底杜絕。這類技術已越來越多地用于各種位置服務：在設備足夠接近時，超聲波技術讓應用得以監聽特定發射波段的信標并向用戶推送通知，提示與當前位置相關的服務或內容。這類方法的目標是徒步旅行者和博物館參觀者，旨在為他們提供信息，以促進體育場館等場所的售票業務。

　　維格納和馬維魯迪斯認為，這些推送通知的做法并不像下類做法那樣赤裸裸地侵犯隱私：悄悄跟蹤設備一段時間、收集設備主人的信息以創建不同用戶的概況。相反，當選擇下載使用超聲波技術的位置型應用時，用戶能夠更直接地了解該應用的功能。但研究者指出，目前超聲波技術存在的問題不在于它們用于無線通信的現況，而在于這些技術還不夠成熟。每家公司都擁有自己的編碼版本，并開發了超聲波通信的不同執行方案。我們無法確保這些不同版本的技術都能夠保障用戶的隱私和安全。

　　維格納指出，“這項技術的真正價值在于，無需任何特定的網絡設置。它實際上依賴于一種物理現象，并且能夠從物理層面創建連接。對于物聯網來說，這或許很重要，因為有時候會面臨無法穿越墻壁等障礙物的問題。然而，超聲波通信完全不需要核驗，這會導致混亂。此外臨時發起的特性也讓這類技術的執行存在一定漏洞。不統一標準的話，風險恐怕只會越來越嚴重。”

　　在過去的超聲波通信研究中，馬維魯迪斯得出的結論是，最迫切需要解決的潛在風險在于，目前該行業并未對能夠接收超聲波信號的應用施加限制。舉例而言，如果一個應用能夠自由訪問設備的麥克風數據，那么這一應用只能訪問超聲波信息嗎?它不會得寸進尺地監聽用戶所做的一切?對此，用戶只能選擇相信，別無他選。類似地，在設備處于飛行模式時，一些采用超聲波技術的應用將繼續從用戶的麥克風收集并存儲數據，并在設備恢復聯網時，把數據發回網絡服務器。其他服務和應用并不會這么做。由于超聲波技術的標準不統一，用戶很難跟蹤到超聲波服務是如何運行的。

　　但超聲波技術的用途不僅限于此。操作系統可利用超聲波通信技術運行一種以統一方式約束外來訪問的應用編程接口(API)。而且，按理想化的設想，這種機制最終將超越個人生態系統成為適用于整個行業的標準，類似Wi-Fi和藍牙技術的演化歷程。

　　研究者指出，谷歌尤其值得一提，因為它在這方面一直領先。谷歌針對Android和iOS開發了名為Google Nearby的API。該平臺具有安全和靈活的特點，并為信標格式和合作伙伴整合了操作標準。Google Nearby也把超聲波技術融入到現有的無線標準中。除了Android上的應用(如，美國聯合航空公司和藥品零售商CVS的娛樂和照片服務)，Google Nearby也被納入電視棒Chromecast等智能家居設備中。

　　馬維魯迪斯指出，“很難控制人們將如何使用這類技術，但Google Nearby確實邁出了正確的一步。不過，仍有許多公司正在開發自己的框架，我不希望看到谷歌在這方面占據壟斷地位。如果每個人都能基于一個行業標準來構建自己的解決方案，這類技術將發展得更好。”

　　令研究者感到寬慰的是，目前，超聲波跨設備追蹤這一用途中似乎并未廣泛出現。但總體而言，各個公司正為超聲波技術摸索越來越多與位置相關的用途，并加以實施。如果該行業不展開廣泛合作以確立穩固的標準，超聲波服務很快將成為一個巨大的安全和隱私問題。