E安全12月21日讯 根据美国国会18个月的研究报告显示，美国执法机构花费巨额资金在黄貂鱼（Stingray）类设备上（是一款便携式定位设备，实质上就是“伪基站”）。Stingray类设备冒充手机信号塔监控目标——而不受任何监管。

报告显示，美国司法部2010年至2014年，在310部手机追踪设备上支出7100万美元。美国国土安全部此时间段在另124个硬件中花费超过2400万美元。

州郡警察机关这期间至少花费200万美元，但调查估计，这只是冰山一角。通常情况下，如果警方人员与FBI、厂商签署协议掩盖硬件的实际使用用途，这类设备仅出售给警察，保密性使得普通公众很难获得信息，了解部署“伪基站”的真实成本。

更重要的是，在该技术投入的资金恰好揭示了这种设备的广泛用途，缺乏审查，使用该技术存在重大风险。

由美国众议院监管和政府改革委员会（the House of Reps' Committee on Oversight and Government Reform）实施这项研究希望监听硬件的用途受限。同时，执法人员继续在该设备上花费数百万。

该委员会在报告中提及黄貂鱼探测器时指出，“虽然执法机构应该能将该技术作为工具，帮助官员在缺乏适当监督和保障措施的情况下，保护官员安全，并帮助他们完成任务。在内部使用基站模拟器可能会侵犯公民免除无理搜查、扣押的宪法权利，以及自由结社的权利。”

据介绍，“黄貂鱼”在技术上更多以国际移动用户识别码(IMSI)而被人们熟知。该追踪器为盒状装置，能够监控手机的活动和位置，在20世纪90年代就已遍布各地。它们通过模仿手机信号塔工作，使在该区域的无线电设备将其作为最近选项并加以连接。“黄貂鱼”可以访问手机中的各种数据，从手机的定位到短信和日志。这类设备允许美国特工和警察获取成千上万机主的身份，通过追踪手机的活动了解机主动向，并由此推断出机主的朋友和同事，或根据位置推测犯罪行为。较大型设备还能安装在飞机上。

至少自2008年以来（美国国税局自2011年开始），FBI一直在使用黄貂鱼设备，但一直对这类设备的用途秘而不宣，甚至宁愿在法庭败诉，也不透露如何得到消息，进而实施逮捕。此后，黄貂鱼设备的用途在执法机构间扩散。

报告指出，不幸的是，关于使用黄貂鱼和其它手机基站伪造设备的规则大相径庭。通过正常的手段实行监控需要适当的理由，并需经法官同意，但黄貂鱼通常被部署用来追踪警方指定的人员，这样一来，要求的证据标准更低。

虽然美国司法部和国土安全部已经制定规则，按要求，只有理由适当，才能使用这类设备，但州、地方法律却意味着情况不应一概而论。加利福尼亚州、华盛顿州、弗吉尼亚州、犹他州和伊利诺伊州确实制定了这类法律，但有证据证明，其他人比联邦政府工作人员动作更快、更猖狂。

该改革小组总结称，“为了确保基站模拟器和其它类似工具的使用不侵犯宪法的权利，其用途应当受限，另外，保持高度透明化十分关键。此外，必须制定通用、容易理解的标准约束这类技术的部署。国会最适合确保将适当保障措施部署到位。”

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。