隨著移動互聯網的觸角滲透到我們日常生活的大部分方面,智能手機現在已經成為大多數用戶的標配,所以許多人或多或少遇到了各種騷擾電話。這些騷擾電話是如何實現“精確制導”的?央視3.15晚會給了我們答案——WiFi探針盒子。 WiFi探針到底是怎么竊取用戶隱私的?
這些曝光的公司將探針盒子放在交通繁忙的地方,如商場、超市和便利店,然后通過WiFi探測技術竊取用戶隱私。在獲得用戶手機的Mac地址后,他們通過大數據生成用戶畫像,為騷擾電話提供“地圖”。 WiFi探針實際上并不是一項新技術,這是一種基于無線握手協議來識別AP(無線訪問接入點)覆蓋范圍內已開啟WiFi功能移動終端的被動監測技術。注意這個“被動”,本質上來說WiFi探針盒子相當于是一個提前布置的“陷阱”,就等各位手機用戶主動跳進去了。 WiFi探針“探到”的信息其實是手機主動發送的,這是因為WiFi技術采用的是IEEE802.11協議集,這種技術要求數據被封裝成幀之后,需要讓幀以固定格式在數據鏈路層傳輸。AP負責發送BeaconFrame(信標幀),告知移動設備這里有一個AP網絡存在,而手機等設備則會持續發送Probe Request(探測請求幀)去尋找附近可用的AP。這個探測請求幀中,就包含了設備MAC地址、RSSI值(信號強度值)等等。
換句話來說,WiFi探針技術是基于WiFi協議缺陷而開發出來的,其所需的技術開發門檻是相當之低,也基本上無法被強制禁止。比如說我們在某應用商店上,就可以隨意下載到類似的WiFi探針APP,只需要短短幾秒就能夠掃描到該WiFi下所有設備的IP、Hostname(設備名)、SSID(WiFi名稱列表)以及MAC地址。
一切都為精準營銷服務
如果你要問這種WiFi探針盒子的合法性,只能告訴你的是,這個小玩意處在合法和違法之間的灰色地帶。此前公安部的82號令要求,各非經營上網服務的場所,只要面向公眾提供WiFi服務,都需要安裝互聯網安全審計系統。因此對于只能被動感知范圍內手機,而不能為開啟WiFi功能的手機提供互聯網接入,因此WiFi探針盒子并不受安全審計系統的管控。
但是問題出在另一個方面,從我國在2018年5月1日正式實施的《信息安全技術個人信息安全規范》來看,手機的MAC地址明顯屬于個人信息而非個人敏感信息。但是,WiFi探針盒子的持有者在在商場、超市、便利店等公共場所,通過被動地與個人信息主體交互的方式來收集,到底是用戶“默示同意”的合法舉措,還是不經過“明示同意”的非法行為,這一點目前則顯得較為模糊。
之所以這些公司和某些商家需要獲得用戶的MAC地址,是因為其唯一性。MAC(Media Access Control)直接翻譯過來就是媒體訪問控制地址,這是一串十六進制數組成的設備身份證,用以在網絡中唯一標示一個網卡,并且由于一部手機只有一個單獨的WiFi模塊,所以一個MAC地址也就對應了一部手機。
雖然MAC地址并不能顯示出設備持有者的真實信息,但是根據同一MAC地址被不同探針識別的時間,可以分析用戶的移動軌跡,而通過MAC地址出現在后臺的頻率,就可以進行區別新老客戶、到店客流量統計、客戶量峰值、客戶駐店時長、到店周期、訪問用戶手機品牌等有效商業數據,最終用來改善零售店布局,確定促銷和銷售的時間,測試廣告的效果等。
從MAC地址到手機號的神奇魔術
從不能反應真實信息的MAC地址,到關聯用戶本身的這一過程,其實才是侵犯用戶隱私的關鍵環節。隨著移動互聯滲透到日常生活的方方面面,幾乎所有的APP或多或少都在收集用戶信息,但是除了像BAT這樣的巨頭,能夠建立大而全的用戶數據庫之外,小廠商掌握的信息更多是碎片化的,可能這個APP知道你喜歡吃火鍋,那個APP知道你喜歡數碼產品。而為了向廣告主提供精準營銷服務,就出現了將碎片化信息整合起來的“中間商”。
早在2013年,紐約時報就發布報告稱,高檔連鎖百貨集團Nordstrom將在自家商場收集的MAC地址數據,出售給下游的廣告營銷商。而如今央視3·15晚會反應的狀況,其實是第三方數據公司的亂象——以MAC地址作為基礎的身份識別,對接內部自有數據、廣告投放數據和第三方數據(如運營商數據等),建立MAC地址、IMEI、手機號之間的匹配關聯關系庫。當然,這是主動行為,被動的話就是黑客通過撞庫的方式來說完成,把從不同來源的脫庫數據互相匹配,最后清洗出有用的信息,再進行出售。
簡而言之,WiFi探針盒子拿到的MAC地址盡管并不敏感,但是這不妨礙某些不法分子用“多米諾骨牌”式的一環套一環,從MAC地址匹配到手機的IMEI(手機序列號),再到手機號碼。而拿到你的號碼之后,再結合之前通過WiFi探針得到用戶在哪些店鋪停留的時間更長、更愛吃哪一類的餐館之后,就能通過之后的智能騷擾電話來實現精準營銷。
在享受來自大數據的福利之后,自然也要吞下大數據導致的惡果。不過,在對抗WiFi探針這樣基于技術缺陷的信息獲取方式上,我們也并非毫無還手之力,至少手機廠商是很不希望有外人拿到手機MAC地址的。
目前來說,在移動設備上,無論是iOS、Android還是微軟的Windows 10,都已經擁有了對抗WiFi探針的技術——隨機MAC地址。蘋果早在2014年的iOS 8上就推出了這項技術,而Android則因為在Android 5.0使用隨機MAC導致系統BUG,而直到去年的Android P上才正式開放了這項技術。
隨機MAC地址的工作原理,是創建一個經過256位加密的有規律的偽隨機MAC地址數列,當手機掃描附近AP的時候就循環使用該數列。因此,想要避免自己的手機在公共場所,在不知不覺直接被WiFi探針記錄,各位其實升級到最新版本的iOS和Android就能夠有效防止。