可能存在数以亿计的设备上存在隐私威胁,即使用户从来没有故意安装 Tor,也可能通过使用通过 Tor 网络泄漏的信息来使潜在的攻击者能够跟踪和描述用户。
在 10月10日于加拿大多伦多举行的SecTor安全会议上的一次会议上,来自德勤加拿大的研究人员 Adam Podgorski 和 Milind Bhargava 概述并演示了之前未公开的研究,说明他们如何确定数百万人泄漏了个人身份信息(PII)每天超过 Tor 的移动用户数量。
具有讽刺意味的是,Tor是一种旨在帮助用户提供和启用匿名性的技术和网络。使用 Tor,流量可以通过许多不同的网络跃点到达最终的出口点,以希望掩盖流量的来源。Podgorski 说,有些用户选择在他们的移动设备上安装 Tor 浏览器,但这不是问题。问题在于,Tor 在没有用户知识的情况下由移动应用程序安装,并可能使用户面临风险。
研究人员解释说,他们建立了多个 Tor 出口节点,只是为了看看他们能找到什么,结果令人惊讶。研究人员发现,所有 Android 设备中约有 30%通过 Tor 传输数据。
Podgorski 说:“就像我们几个月前一样,您现在可能正在挠头,因为那没有任何意义。” “没有三分之一的 Android 用户知道 Tor 是什么并且正在实际使用它。”
研究人员确定的是,Tor 已被捆绑,嵌入和安装在其他应用程序中,并且用户并不知道它的存在。对于研究人员来说,尚不十分清楚为什么 Tor 会与许多应用程序捆绑在一起。Podgorski 说,这可能是由于对该技术及其使用方式的误解。在 Apple iOS 设备上也发现了 Tor,但数量较小,只有大约 5%的设备正在发送数据。
追踪使用者
在一系列演示中,包括 Bhargava 展示的实时仪表板,研究人员展示了他们从移动用户那里收集的哪些数据是无意中使用 Tor 的。数据包括 GPS 坐标,网址,电话号码,击键和其他 PII。
Podgorski 说:“这些数据可用于建立个人的健全资料。”
Bhargava 解释说,研究人员故意设置退出节点,试图迫使浏览器不使用网站的加密版本,并在可能的情况下将设备强制使用常规 HTTP。由于数据未经加密进入出口节点,研究人员就有可能看到用户数据。Bhargava 指出,对于那些强制进行 HTTPS 加密并且不对常规未加密的 HTTP 提供任何回退选项的网站,他们将无法看到用户数据。
另外值得注意的是,Bhargava 承认他在数据中找到了自己的电话号码,这使他感到惊讶,因为他没有在设备上安装 Tor。他手机上唯一的应用程序是运营商安装的应用程序。
要解决此问题,需要完成几件事。Podgorski 说,首先是意识到存在问题,这就是研究旨在向立法者,政府和组织强调的问题。对于用户,Podgorski 强调需要通过在各处使用加密来采用良好的操作安全性实践。
在 Podgorski 看来,移动应用程序 PII 数据泄漏已经存在法律合规风险。
他说:“我们非常确定我们发现的内容在多个层面上违反了 GDPR,但是问题是,如果政府不了解,便无法执行法律。”