一个简单的软件修复可能会限制位置数据共享

近年来，来自无线运营商的位置数据共享一直是一个主要的隐私问题。营销人员、销售人员，甚至赏金猎人都能够使用运营商从您的手机和附近手机信号塔之间的交互中收集的信息，向神秘的第三方公司付款，以跟踪人们去过的地方。即使在承诺停止销售数据之后，据报道主要运营商——AT&T、T-Mobile 和 Verizon——在继续这种做法，直到联邦通信委员会提出近 2 亿美元的合并罚款。运营商保持常年饿到知道的多尽可能关于你。现在，研究人员提出了一个简单的计划，以限制他们可以从手机信号塔获取的大量位置数据。

获得访问 GPS 信息许可的应用程序推动了大部分第三方位置数据行业的发展，但运营商可以从手机信号塔收集的位置数据通常提供了替代渠道。多年来，似乎对这种泄漏几乎无能为力，因为切断对这些数据的访问可能需要运营商不愿进行的那种系统性升级。

不过，在周四举行的 Usenix 安全会议上，普林斯顿大学的网络安全研究人员 Paul Schmitt 和南加州大学的 Barath Raghavan 提出了一项名为Pretty Good Phone Privacy的方案，该方案可以通过简单的软件升级向运营商屏蔽无线用户的位置任何运营商都可以采用——无需进行构造基础设施的转变。

“我们试图解决的主要问题是大量数据的收集和销售，”Raghavan 说。“我们将其视为用户隐私问题，运营商可以收集这些位置数据，无论他们目前是否正在积极销售。我们的目标是向后兼容。我们不希望电信公司推出任何东西，因为我们知道他们不会这样做。”

从无线网络收集大量位置数据的机会源于每张 SIM 卡都有一个永久 ID 号，称为“国际移动用户身份”或 IMSI 号。当您的设备重新启动、闲置一段时间或只是需要建立新的连接时，它会联系最近的手机信号塔并显示一个 IMSI 号码。这允许运营商检查您是否已经支付了电话费以及是否应该被允许使用服务，它还可以告诉网络您靠近哪些手机信号塔。被称为“黄貂鱼”或“IMSI 捕捉器”的监视工具利用这种相同的交互来获取您的物理位置，甚至窃听您的电话和短信。

为了更难一直跟踪您，无线标准已在初始 IMSI 交换后为每个设备分配一个随机的轮换 ID。这意味着系统中已经内置了一些保护措施;使第一个 IMSI 步骤更加私密将对用户产生深远的好处。

Pretty Good Phone Privacy，它的名字是对 1991 年开创性的通信加密程序Pretty Good Privacy的致敬，旨在通过重新构想网络执行的计费检查来实现这一目标。研究人员建议在每台设备上安装门户——使用应用程序或操作系统功能——与计费服务器进行定期检查，以确认用户的信誉良好。该系统将分发不识别特定设备的数字令牌，而只是表明所连接的无线帐户是否已付清。当设备尝试连接到手机信号塔时，交易所将通过此门户对是否提供服务进行“是”或“否”。研究人员进一步意识到，如果系统具有确认计费状态的替代方法，它可以为每个用户接受相同的 IMSI 号码或任何随机 ID。

“当您连接到网络时，您提供 IMSI 号码以向后端数据库显示您是付费客户，这里是您订阅的服务，”施密特说。“然后系统会通知核心的其余部分，让你进入网络。但是我们对 PGPP 所做的改变了微积分。订阅者数据库可以在不知道您是谁的情况下验证您是付费用户。我们已经解耦并转移了计费和身份验证。”

对于运营商来说，改造一些计费系统并向用户分发应用程序比更深入的网络检修要容易得多。Raghavan 和 Schmitt 正在将他们的研究转化为一家初创公司，以便在电信公司中更容易地推广该项目。他们承认，即使采用起来很容易，但整个行业很快就会转向 PGPP 仍然是一个漫长的过程。但他们说，只获得少数运营商仍然可以产生很大的不同。这是因为如果整个集合的任何重要部分受到污染，批量位置数据就会变得不那么可靠。例如，如果900 万Boost Mobile 用户广播相同或随机的 IMSI 号码，这将破坏整个数据集的准确性和实用性。

密码学家布鲁斯·施奈尔 (Bruce Schneier) 最初在 1 月份了解了 PGPP，最近成为项目顾问，他说，即使不运营自己的蜂窝塔的小型虚拟提供商(称为 MVNO)也可以独立实施该计划，这一事实意义重大。

“一家运营商可以在没有任何人许可的情况下自行完成，也无需任何其他人更改任何内容，”Schneier 说。“我可以想象其中一家较小的公司说他们将提供此作为增值服务，因为他们想要与众不同。这是隐私，成本很低。这就是整洁的事情。”

在竞争激烈的单片无线市场中，在隐私方面脱颖而出可能是一种具有吸引力的营销策略。三大运营商可能会试图通过合同暂停来阻止 MVNO 采用 PGPP 之类的东西。但研究人员表示，一些 MVNO 已表示对该提案感兴趣。

在执法的潜在压力和数据访问丢失之间——加上需要分发应用程序或让移动操作系统参与进来——运营商可能没有动力采用 PGPP。施密特指出，在执法部门可能会反对这种计划的情况下，运营商仍有可能对特定电话号码执行有针对性的位置历史查询。研究人员表示，他们相信根据《执法通讯协助法案》，这种方法在是合法的。这是因为 PGPP 的一个警告是它只为涉及 4G 或 5G 等数据网络的蜂窝塔交互增加了隐私保护。它不会尝试与促进传统电话呼叫和 SMS 文本消息的历史悠久的电话协议进行互操作。

该方法还侧重于 IMSI 号码，以及称为订阅永久标识符或 SUPI 的 5G 对应物，并且它不保护或遮挡静态硬件标识符，如国际移动设备身份 (IMEI) 号码或媒体访问控制 (MAC) 地址. 这些并没有用于研究人员试图匿名的手机信号塔交互中，但它们可以提供其他跟踪途径。

然而，在多年的数据滥用和日益严重的隐私问题之后，有一个简单直接的选择来解决一个主要的位置数据泄露问题仍然很重要。

“坦白说，我现在的感觉是，以前怎么没看到?” 拉格万说。“这不是，'哇，这太难弄清楚了。' 回想起来很明显。”

“这实际上让我们作为系统研究人员感觉更好，”施密特补充道。“最终，系统越简单，系统就越好。”