研究人员创建了从 Tor 网络流量中抓取的移动用户的数字档案。每天,Tor 网络运营着源自数百万移动设备未加密的、敏感的、机密的用户数据。研究人员表示已经能为某类移动用户收集此类信息并创建个人档案,包括 GPS 坐标、web 地址、电话号码和击键。独立工作的加拿大德勤公司研究员Adam Podgorski 和Milind Bhargava 表示,他们能够从三个 Tor 网络退出节点(TorExit Nodes 是 Tor 加密流量访问互联网的网关)中捕获数据并将这些数据串联成个人档案。研究人员表示,Tor在未经用户同意或知晓的前提下运营者未加密的移动设备流量。 Podgorski 和Bhargava 认为95%的流量源自安卓应用,5%源自 iOS应用。这些应用是由设备的 OEM、无线电信运营商或者由用户或攻击者下载到设备上的应用。Bhargava 表示,“我们认为未加密榴莲源自安装在这些手机上的 Tor 代码,而用户并未意识到它的存在。”虽然 Tor Project 的开发人员提供了一款安卓应用 Orbot,但研究员表示,Tor 功能由第三方提供。至于移动开发人员为何要使用 Tor,一种理论认为这些开发人员错误地认为所有的 Tor 流量都是自动加密的或者以匿名方式加密的。Podgorski 表示,“人们似乎对 Tor 是什么有一些误解,某些移动开发人员认为使用 Tor 能使自己未加密的 HTTP 流量避免被看到。”研究人员认为3%的 Tor 流量源自移动设备。他们发现30%的Tor移动流量并未受HTTPS 加密保护。从 Let’sEncrypt 收集的火狐遥测数据来看,80%的互联网流量是 HTTPS流量。谷歌遥测数据表示所监测的90%的流量是加密的。Let’s Encrypt 的一名发言人指出,“通常是因为老旧设备不支持现代加密算法导致的”。研究人员并未披露这些应用、OEM、无线运营商和泄露数据的对手名称。不过,他们表示这些不安全的来源有热门主流手机应用也有不太知名的对手。从地理位置来看,这些应用在北美和亚洲都较流行。Bhargava 表示,“大概在四个月前我们联系了这些受这些不安全应用影响的所有人,但目前尚未收到任何回应。”研究人员表示,他们能从 Tor Exit Nodes 中收集个人可识别信息并且创建非常具体的数字资料。他们能够收集的数据包括泄露用户 GPS 坐标信息的广告、披露击键信息和浏览习惯的应用、泄露收集用途信息的 OEM以及识别用户国家码的电信运营商。研究人员表示,每种数据都和一个国际移动设备身份(或 IMEI 号码)相关联。数据还包括国际移动订阅者身份(或 IMSI 号码)能够唯一识别某个蜂窝网络的用户。Podgorski 表示,“就像一个谜题一样,我们所需要做的就是将所有相同的 IMEI 和 IMSI 号码关联在一起,创建一个单一用户资料。”研究人员能够使用该数据创建用户资料,具体到位置、电话号码和击键。当问到用户如何保护自身安全时,Podgorski 表示,“目前看用户无法阻止这种信息泄露问题。”
https://threatpost.com/unencrypted-mobile-traffic-tor-network-leaks-pii/149200/
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。