用过推特的地理位置服务?你摊上大事儿喽
编译:360代码卫士团队
你以为你发的旧推特帖子蒙灰了没用了?图样图森破。
希腊研究和技术基金会和伊利诺伊大学的研究人员本月发布论文称,旧推特帖子暴露的内容比人们想象得还多。推文能够暴露用户去过的地方以及做过的事情,即使用户并未明确提到这些内容。
研究人员编写了名为 LPAuditor 的工具,挖掘了任何人均可通过推特的 API 所下载的公开访问数据。他们使用这款工具分析了元数据,即帖子中内嵌的推文的隐藏信息,以识别用户的家庭住址、工作地址和敏感地点。在几十起案例中,研究人员还能够识别出使用匿名推特账户背后的用户真实身份。
研究人员在名为《请忘记去年夏天我在哪里:公开位置(元)数据的隐私风险》的论文中指出,“即使用户谨慎地未在推文中披露任何敏感信息,但通过我们基于持续时间的方法所获取的信息可造成重大隐私损失。”
这种不安全源自在2015年4月前发布的历史推特数据中。在此之前,如果用户在某个宽泛的区域打上了地理位置标签,如某个城市,那么推特就会把在推特元数据中嵌入确切的 GPS 坐标信息。仅仅查看推特 app 或网站的用户无法意识到这一点,因为它只会显示通过 API 获取的原始数据。尽管推特在2015年已经停止嵌入该数据,但仍然可通过 API 公开获取历史数据。
研究人员提取了历史数据中的 GPS 坐标并使用公开的地理位置服务将坐标数据映射至某个地址中。之后将映射到同样地址的推文分组,生成推特集群并对它们加时间戳,从特定位置推断用户推文的频率和时间。
研究团队使用了关于美国日常生活的一些假设识别出家庭住址,如在早晨离开晚上回家且在周末待较长时间。它们使用了关于工作时间的类似假设,识别出推特用户的工作地点,甚至包含倒班的内容。
研究人员还映射了用户发的关于其它位置和 Foursquare 中列的场所的其它推文的 GPS 坐标。这种信息有助于判断用户可能发出推特所在的位置。借此,研究人员创建了潜在的敏感集群,说明用户很可能去过的敏感位置。
研究人员甚至在没有查看推特的实际内容的情况下就分析出如此多的内容,他们通过关联这些元数据甚至能够更清楚地明白用户正在做什么。通过查看“在家”或“在工作”这样的词语,他们能够证实某个地理位置是家庭住址还是工作地点。
同样,通过查看和医疗、宗教、性别或夜生活等活动相关的关键词,研究人员能够证实用户是否在某个敏感位置参加某项具体活动,甚至是在推文本身并未明确提及这些地点及行为的情况下。
研究人员在论文中表示,“在某个案例中,用户表达了对自己的医生的负面情绪,而 GPS 坐标显示用户正坐在某个精神健康专家的办公室中。在另外一个案例中,用户抱怨某些血液测试情况,而同时定位在某个康复中心。”
研究人员不仅能够从用户推文中推断中关于用户的更多信息,还能够准确地识别出很多匿名的推特账户。他们表示第三方可利用这些数据识别用户身份并可能推断出他们的行为,包括独断专行的政权将某个活动家的账户去匿名化、保险公司推断客户的健康问题或者是潜在雇佣者开展背景调查。
推特确实允许人们删除之前的推文或者删除位置信息。但问题是由于可公开获取该数据,因此数据经纪商和其它第三方可能已经获取了这种信息。
删除推文中的位置信息并不会阻止第三方的追踪:“推特的侵入性隐私策略不能被视作已修复漏洞的案例。只要这种历史数据还存在于网上,那么用户将继续面临论文中强调的重大隐私风险问题。”
简言之,好事不出门,坏事传千里。推文一旦发出去,全世界都可能已经知道了。
研究人员将在下个月举行的网络和分布式系统安全会议上发布论文。
推荐阅读
原文链接
https://nakedsecurity.sophos.com/2019/01/11/old-twitter-posts-reveal-hidden-secrets-say-researchers/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。