查看原文
其他

汽车、音箱、电视、手机……身边究竟有多少设备可以记录你的一举一动?

2017-02-14 马若飞 好奇心日报

这里不谈都市传说,全都是有据可依的窃听案例。

怎样才能有完全的隐私?要按爱德华·斯诺登的做法,你住进一家酒店,就得用枕头堵住门缝、拔掉酒店座机、贴上电脑摄像头、把手机塞进小冰箱。

这些就是参与披露棱镜计划的《卫报》专栏作家 Glenn Greenwald 与斯诺登在香港初次见面时所目睹的。就像之后许多与斯诺登见面的人一样,Greenwald 当时也将这样的行为理解成一种过度妄想。

关于隐私问题,有很多都市传说,比如所有的快递都会被查、手机不关机就能被远程变成窃听器、路边的监控可以认出你是谁。

而应对方式似乎也有不少,加密通信工具、VPN、Tor 都不是很难获取。

但实际上,抛开没证据的都市传说,只看有确凿法庭文件的案例,会发现今天的监控手段和侵犯隐私是远远超过手机、电脑上存储的信息。政府部门根本不需要斯诺登在酒店里担心的 007 式伎俩,就能轻松在商业公司的帮助下完成监控

最近暴露出来的监控设备是汽车。美国司法机构披露的信息表明,包括通用汽车采用的安吉星(OnStar)系统在内的多个车载服务,帮着政府追踪车主位置、窃听车内对话十多年。

汽车可以透露你的位置、录下车内对话,甚至里面装的收音机都能记录车辆信息

2006 年年底,美国缉毒局(DEA)通过内线获悉一个叫 Lamauro Coleman 的毒贩经常从密歇根开车去纽约取海洛因。内线还亲自从 Coleman 手上买了两次超过 100 克的海洛因。

次年 1 月,当 Coleman 再次开车去纽约取货的时候,内线向缉毒局告密。几位缉毒局的特工尝试追随 Coleman 的车,但 Coleman 的反侦察技巧不赖,屡屡甩掉政府特工。

不过 Coleman 开的是一辆 GMC 的 Envoy SUV,车上有正好选装了安吉星系统,于是 DEA 通过系统后台直接追踪了他的车辆位置,最终在密歇根州被截停抓获。

通用汽车旗下的“安吉星”系统,和丰田汽车上安装的 G-Book 等系统一样,是一种车载通信服务,可以提供诸如咨询路线、呼叫紧急救援、远程诊断、车辆定位等等功能。

技术上来说,安吉星内置的定位系统可以获得车辆位置,在紧急时刻按下报警按钮,救援人员可以更快抵达事故现场。

它的使用方法类似人工 Siri,按下呼叫按钮之后会接通远方的服务中心,话务员会根据车主口述的需求规划行车路线或者呼叫救援。

所以,安装了类似服务的汽车理论上具有车内话筒、数据连接和定位功能。在 Coleman 的案子里,执法部门是直接要求安吉星公司与警方合作,通过系统后台直接获得了他的位置。

同一年,还有一起更离奇的案子和安吉星有关。2007 年,美国俄亥俄州一台雪佛兰 Tahoe 的车主被警方以藏匿大麻为由抓获,但他的车没有选装安吉星服务,所以虽然内置了硬件,但无法使用这些服务。但是,在他无意中按下了安吉星紧急呼叫按钮之后,本来不应该接通的安吉星话务员偷听到了他和别人关于大麻的交谈,随后报警。然后,警察根据安吉星的信息截停了他的车。

根据法院文件记录的信息,早在 2001 年,另一个车载互联系统提供商 ATX 就曾被要求提交一台奔驰 S430V 的音频数据。那年 11 月,ATX 按照 FBI 要求对目标车辆进行了长达 30 天的语音监控。

也就是说,政府通过汽车监控民众,已经有 15 年的历史了。

根据 IHS 的数据,2015 年装有互联系统的汽车在美国卖了超过 1100 万辆。到 2021 年将会达到 1650 万,也就是几乎每一辆新车都有这个功能。目前除了安吉星和 G-Book 以外,车载智能功能越来越多。豪华品牌奥迪、奔驰、宝马早就标配了事故紧急定位和呼叫服务,和安吉星的原理几乎完全一样;福特的 Sync 3、本田的 Honda Connecting 等等虽然没有紧急联络服务,但是因为需要接收路况信息内置了 4G 网络,同时具有语音识别的功能,理论上也可以实现监听和追踪。

而且即便车主不带手机出门、车上没有安吉星这样的联网系统,收音机也能把你的位置记录下来。

2014 年,卫星收音机服务提供商 SiriusXM 在纽约警方的要求下,利用车内的卫星收音机设备追踪了一台涉嫌非法赌场的丰田 4-Runner SUV。因为卫星收音机并没有定位功能,所以警方是利用和手机定位类似的三角位置计算的形式,来确定车辆的位置。SiriusXM 承认,曾满足了警方 5 次类似的要求,但没有披露名单。

这些都是美国发生的事,但不是所有国家都会像美国一样在法庭上披露执法机构的监控手段。

在后“棱镜”时代,连你的音箱都时刻听你说话

爱德华·斯诺登暴露了“棱镜计划”,这个由美国政府主导,通过互联网公司对用户通信进行大规模监听的计划就此曝光。但是在斯诺登披露的文件中,更多的是关于政府收集了多少数据、大公司如何合作、以及大致目标是什么。直到第一份关于“棱镜计划”监听个人的案件曝光,这个不合法计划的可怕之处才切实显露。

2012 到 2013 年之前,出生在斐济的新西兰公民 Tony Pullman 因为在社交网络上发表反对 2006 年军事政变推翻斐济政府,当时实际执政的军队领导人弗兰克·姆拜尼马拉马(Josaia Voreqe Bainimarama)的言论,被新西兰执法部门怀疑参与颠覆政府。

随后,新西兰特工和美国国家安全局达成了合作,借助“棱镜”计划取得了 Tony Pullman 的大量个人信息:Gmail 的邮件、银行对账单、带定位的 Facebook 的照片、以及聊天记录。之后,Tony Pullman 的家被搜查,护照被注销,公司被监控。最终事实证明,Pullman 什么也没做,仅仅在互联网上说了几句话。

对于稍有反追踪常识的人来说,在互联网浏览的时候采用一些匿名工具就可以躲开常规的追踪,比如 VPN 和浏览器匿名模式。但是除了你的计算机,监听可能来自出乎意料的方向。

2015 年夏天,亚马逊公开发售 Echo 智能音箱,它具有实时响应的语音助手功能,你随时叫一声 Alexa 就可以给它下命令,比如听某张专辑、读电子书。

要实现这个功能,亚马逊 Echo 就必须时时刻刻都在分析周遭的声音,才能知道你什么时候在叫它。这些信息理论上在本地运行即可,无需记录和上传,但是一起凶案显示,亚马逊 Echo 可能录下了你的日常生活。

2015 年 11 月 21 日,美国阿肯色州男子维克多·柯林斯(Victor Collins)和几个朋友应詹姆斯·贝茨(James Bates)的邀请前往贝茨家中喝酒看球。但一夜过去,柯林斯被发现死在贝茨家的浴缸里。

另外两个朋友在 12 点钟离开了贝茨家,贝茨称自己在 1 点钟回房睡觉,柯林斯则在继续看球。因为没有人证,受害者又死在私人家宅之中,主人贝茨成了最大的嫌疑犯,可他坚称自己是无辜的,并不知道朋友如何惨死家中。

贝茨是一个数码产品爱好者,他家装了霍尼韦尔的报警系统、Nest 室内温控系统等等很多流行的数字家庭设备,以及一个亚马逊 Echo 智能音箱。去年年底,检方指控贝茨一级谋杀罪名准备开始审理,认为亚马逊 Echo 可能会录下事发当晚的某些声音,要求亚马逊公司提交用户录音,但亚马逊的回应不是没有数据,而是拒绝提供数据。

虽然亚马逊拒绝了,但这侧面显示,Echo 不仅随时在听你说话,而且可能录了下来。

类似语音控制的智能家电都有风险。2015 年,三星的电视机用户条款中明确写道,这款由语音识别功能的电视,会记录下用户的声音并且可能会将它发送给第三方。虽然三星说这个第三方其实是搜索引擎,但这种策略实际上为隐秘的搜集用户数据行了方便。

Echo 火了以后,现在众多科技公司已经把语音控制、语音识别当成了创新点,推出了具有类似功能的很多产品。

去年 10 月,Google 推出了 Home 智能音箱,具有和 Echo 很相似的功能,可以全天候相应用户的呼叫。国内的京东和新加坡创新电子推出了类似功能的智能音箱。做语音识别的科大讯飞也有类似的产品。

著名军事、间谍小说家汤姆·克兰西在《红潮》里描写过苏军高层的一种反监听技巧:军官们一起蒸桑拿的时候用凉水冲地面,发出的嘶嘶声就能让窃听设备捕捉不到对话。

类似的手段比如打开水龙头、调高电视声音,经常在电影里出现。但是在今天的麦克风和计算机语音识别面前,这样的技巧已经不太管用。

比如亚马逊 Echo 那套名为 ARS 的自动语音识别处理系统,利用七个麦克风阵列和一个处理系统,可以实现噪音环境中辨别人声。实际使用中你放着很大声的音乐,在 5 米开外叫它,它也能识别出来。

手机随时可以监听周遭环境不是都市传说

在纽约市曼哈顿下城托马斯大街 33 号,有一栋 29 层高的大楼。这栋水泥色的大楼没有窗户,没有招牌,一楼入口处有双向通话器。每当夜晚来临,周围建筑的灯光亮起,它就会隐入黑暗之中,巨大的通风口发出沉闷的、有节奏的嗡嗡声。

这栋 1974 年落成的建筑名为“长线大厦”(Long Lines Building),由 John Carl Warnecke&Associates 设计公司设计, 是纽约最老最有名的高楼之一, 拥有堡垒似的外观。根据所有权文件,这座高 160 米、可以抵御炸弹攻击,可以容纳 1500 人封闭工作、包含地上 29 层和地下 3 层的大楼属于美国最大的电信公司之一 AT&T,是美国最大的长途电话处理中心之一。

长线大厦楼顶的卫星天线/The Intercept


但在爱德华·斯诺登的文件里,“长线大厦”有另一个名字:“TITANPOINTE”。斯诺登说,它不仅仅是 AT&T 的电话中心,更是和美国国家安全局 NSA 合作建立的监听中心之一,用来监听电话、传真和互联网通信。The Intercept 网站的调查揭示,在这栋大楼里,AT&T 和美国政府合作,对至少 38 个国家和国际组织进行监听。

而更多公开法庭文件表明,手机可以听到的不仅仅是通话内容。

早在 2006 年,FBI 在纽约侦破一起和黑手党有关的有组织犯罪中,就利用一个软件漏洞,远程向目标手机中发送后门软件,用激活手机麦克风的方式窃听目标的信息。因为手机本身带有麦克风,又可以连接数据网络,通过间谍软件获取手机的控制权限之后,它就几乎变成了一个非常好用的远程监控设备。

这起案件中的远程窃听被美国地方法院裁定为合法,但目前是第一期被认定的利用手机远程激活窃听的案例。

在当时,手机是可以彻底关机或者拿掉电池的。在没有电池的情况下,无论什么窃听方式都不可能正常进行。但如今的手机几乎都是内置电池,有时彻底关机也没有效果。《连线》杂志曾证实,有手机木马可以实现在关机状态下周期性激活手机的通信处理器,进行窃听。

2016 年 8 月,苹果 iOS 9.3.5 更新修复了一个致命漏洞。这个漏洞此前被以色列公司 NSO 利用,做成了监听软件。这种可以完全无痕控制 iPhone 的软件不仅可以获取手机内存储的信息,还能录下周遭声音。

在 iPhone 之前,NSO 针对 Android 的攻击工具已经卖了多年,曾被巴拿马政府买来做非法窃听。

这起事件是少有的商业公司利用软件漏洞进行定向窃听,但“少有”的意思是披露的少。在软件快递迭代的现在,漏洞是必然会出现的,问题是软件公司能不能赶在攻击者发现之前修复它。

同时,为了更好的语音控制体验,苹果、Google、微软都在手机里内置了语音助手,并且可以直接用一句口令唤醒它们。比如只要功能开着,你说一句“Hey Siri”,iPhone 就开始等你命令。

这就意味着,你的手机、平板和电脑们随时在听你说话。按照科技公司们公布的信息,这些语音助手的智能分析系统是运行在本地的,这些数据并不上传到网络上去,并没有泄露隐私的风险。但技术的广泛使用本身就意味着 24 小时持续录音、识别语音是可行的。

而且现在一年卖出的 Android 手机有数亿部不受 Google 控制。它们的隐私保护就只有天知道了。

摄像头可以做到的不只是录像,也可以看懂你在说什么

在很多罪案电影里,主角们为了安全,都会选择把电脑上的摄像头遮起来。去年播出的电视剧《黑镜》中,一名主角被黑客威胁抢银行、杀人,最终被警察抓到,就是因为流连儿童色情网站时被黑客通过电脑摄像头偷窥而抓住把柄。

同样是爱德华·斯诺登披露的文件显示,小心你的摄像头可能是有道理的。

文件显示,英国的重要情报机构,直接向外交大臣负责的英国政府通讯总部(GCHQ)在 2008 年进行了一项名为“视神经”(Optic Nerve)的监控行动,通过直接在主干网络上窃取数据,侵犯了至少 180 万雅虎用户的个人隐私。

这项行动在 2008 年中,对全球超过 180 万使用雅虎账号进行的视频聊天画面进行了秘密截图和保存。为了避免数据过大,GCHQ 每五分钟保存一个账号的一张照片。同时,这项计划还使用了面部识别技术,可以从这些对话的人脸中识别出监视名单中的人,进行进一步监控。

文件显示,这些保存的照片里,出现了大量露骨的私密画面。本来用户的个人视频聊天是安全的私密空间,但这项计划让私密荡然无存。雅虎后续发表声明,表示毫不知情并且愤慨,称会加强数据加密。

对游戏主机熟悉的朋友都知道,Xbox Kinect 运动侦测摄像头能看到的信息很多,比如对人脸进行识别,知道多人游戏里玩家对应的手柄,或是通过红外线分析人骨架和肌肉的运动等等。斯诺登披露的文件显示,GCHQ 在探索通过 Xbox 游戏机的 Kinect 摄像头进行监控。

虽然目前还没有关于 Kinect 真的被用于监控的证据,但一旦成真,Kinect 能看到的内容恐怕比电脑摄像头更多:你家的客厅来了什么客人,拿了什么东西,说了什么话。即使没有露出脸,也可以识别骨架的运动习惯,通过动作对比来识别身份。

两个宇航员躲在隔音太空舱里密谋,但 HAL9000 通过唇语译出了对话/《2001 太空漫游》剧照


电影《2001 太空漫游》中,主角怀疑飞船上全知全能的超级电脑 HAL9000 心怀鬼胎,于是躲进了隔音的太空舱里密谋交谈。可是,HAL9000 通过摄像头分析唇语知道了主角们在说什么,然后杀死了男二号。

电影《鹰眼》里,同样是失控的超级电脑,这次既看不到人脸,也听不到声音,它却通过桌上一杯水的震动波纹,识别了躲在安全室中主角们说的话。

目前还没有听说有《鹰眼》中的语音分析技术,但是《2001 太空漫游》里的画面已经变成现实。

计算机利用视频分析杯中波纹翻译出人声/电影《鹰眼》剧照


围棋人工智能 AlphaGo 背后的 DeepMind 与哈佛大学合作,研发的唇语识别系统 LipNet 准确率达到了 93.4%,这个数字不仅比过往的人工智能都高,也超过了人类的水平。

目前这个人工智能识别唇语还需要正对着的唇语视频,但按照这样的速度推进,街头遍布的摄像头要不了多少年,不仅可以看到你的一举一动,也可以知道你在说什么。

类似的监控,在过去几十年里并不是新鲜事

1960 年代,美国和苏联的冷战扩大到第三世界国家之间与内部的冲突,越南战争爆发。1967年,知名新闻杂志《堡垒》(Ramparts)报道揭露,美国中央情报局(CIA)在美国国内搞秘密资助项目,在美国超过 400 个学校里吸收来自其他国家的学生从事冷战工作。

报道发布后,中情局对杂志社、记者和出资方进行了长期的非法监视。2008 年的一本书中证实,当年的中情局局长 William Raborn 亲自要求关于杂志社和记者的调查报告。

针对《堡垒》的调查,是历史上中情局第一次违反了《1947 国家安全法》调查一家出版机构。但很快事情就开始升级,根据后来披露的秘密计划“HT LINGUAL”,邮政局的工作人员每天会把来往于苏联、中国等特定社会主义国家的信件和邮报堆放在肯尼迪机场的一间房里。到了晚上,特工们将这些邮件打开、拍照并存档,然后再将它们原样封好。

在 1953 年到 1973 年之间,这个项目共筛选了超过 2800 万封邮件,并打开了 21.5 万件。

东边则更严重。1980 年代末东欧剧变,东德国内安全部门,也就是被贬称为“史塔西”的“国家安全部”的档案全部公开,揭露了东德存在的 40 年的无差别监控历史。

史塔西的标语是“我们无处不在”(WIR SIND ÜBERALL),从结果来看,他们确实践行了自己的格言。史塔西的工作是积极支持、实施党的决定,角色可以是秘密警察、情报机构,甚至可以行使起诉、审判和关押在内全部执法机构职能。自 1950 年到 1990 年德国合并,史塔西共招募全职人员 27 万 4000 人,这些特工使用在房间里安装的窃听器、监控邮件和电话等手段搜集不当言论,利用威逼利诱等方式让当事人失去工作和生活,甚至变成他们的告密人。档案统计,史塔西共控制过告密人员 17 万 5000 名,给超过 600 万东德民众,也就是超过三分之一的国民建立了秘密档案。

两徳合并以后,史塔西和档案被作为博物馆开放。前去查询自己“秘密档案”的民众发现,那些告密的人就是自己的朋友、子女、甚至夫妻。2006 年第 79 届奥斯卡最佳外语片《窃听风暴》(德文译:他人的生活)就详细展现了史塔西的工作方式和准则:在被监听的作家房间里安装众多窃听器,用专人实施 24 小时监听;逼迫他的出版社,令他失去工作,失去生活来源;监控电话、出行记录和邮件;威胁他的女友出卖作家的言行和行踪,等等。

今天,效率更高了,而且威胁隐私的不只是政府

声音来自一块像毛玻璃一样的椭圆形金属板 ,这构成右边墙壁的一部分墙面 ……你发出的每一个声音 ,都是有人听到的 ,你做出的每一个动作 ,除非在黑暗中 ,都是有人仔细观察的 。温斯顿继续背对着电幕 ,这样比较安全些 ;不过他也很明白 ,甚至背部有时也能暴露问题的。


《一九八四》乔治·奥威尔

在《一九八四》成书的 1940 年代,电视和电视节目刚刚开始进入人们的生活。即使那时候只有黑白电视,乔治·奥威尔也创造出了“电幕”,这种既能够宣传也能够监控的设备。

但他没有想到的是,在历史上真正的 1984 年到来的时候,互联网变成了无所不在的“电幕”。

抛开在大部分国家被法律限制的政府监控,我们越来越依赖科技公司,把自己的信息双手奉上,它们实际上已经变得全知全能。

但硅谷的科技公司们正在试着抵抗政府伸得越来越长的手。在 2016 年 FBI 和苹果公司的对抗中,苹果最终没有为 FBI 开发破解 iPhone 的后门程序,并且带领 Facebook、Google、微软等一众科技公司联手捍卫用户隐私。

但商业没有永恒。曾几何时,雅虎也是硅谷先锋,是全球最值钱的互联网公司。雅虎创造了门户网站这个概念,曾给互联网信息世界带来了巨大改变。

去年下半年,雅虎被曝出两次重大隐私丑闻。一是受 FBI 指派长期监控上亿邮箱用户的数据,直接用关键字对原本隐私的用户邮件进行搜索。

如果说这还是政府监控,很多人觉得自己没干坏事无所谓,另一起就是纯粹为了商业利益而漠视用户数字安全了。

雅虎的用户系统曾被攻破,数亿用户的邮箱密码泄漏。但雅虎公司为了保护公司形象、不影响正在谈判的巨额收购案,一直没有公布此事,也没有提醒用户修改密码。

这起泄密不但让数亿邮箱用户的信息被泄漏,而且可能会影响用户在其它地方的数据安全——许多人在所有互联网服务中使用同一个邮箱和密码的组合。

这一切,发生在梅耶尔担任雅虎 CEO 期间。玛丽莎·梅耶尔在跳槽雅虎之前是 Google 的第 20 号员工,曾在那里工作了 13 年的核心高管。当 Google 把“不作恶”写进上市文件的时候,她也在。

2016,雅虎核心业务出售后,今年还改了名,过去不复存在。

和雅虎一样,谁都无法预料苹果、Google、微软这些大公司一二十年后的情况。到那时它们的 CEO 是谁,它们收集的数据会不会泄漏。

其它公司、其它地区就更难说了。

《一九八四》中,核心党员奥勃良可以关掉电幕不被监控。但今天,却无人可以幸免。

题图:Pexels、《疑犯追踪》

成都那家中国区最大的 ZARA 旗舰店,为什么关门了?


情人节除了鲜花和巧克力,来看 7 种爱的表达法 | Hack Your Life


为什么到了互联网上,很多人就不会感到羞耻?



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存