查看原文
其他

文件披露美国奥克兰警方使用基站模拟器跟踪移动设备并访问数据

2017-02-26 E安全 E安全

E安全2月26日讯 美国奥克兰警察局可以免费使用地方检察官办公室的基站模拟器,访问单个嫌疑人和重大伤亡事故的移动数据,但不能用于“人群管理”。基站模拟器主要原理类似于手机信号塔截取手机信号。警方和特工因此可以获得关于手机地点的信息,是追踪罪犯和失踪人员的有效工具。但这一设备也会收取该地区其他许多手机的信息。有些基站模拟器收集的信息远不止手机位置,还包括短信、通话记录、电子邮件等等。

基站模拟器普查公开先前未披露的更多记录,这次的记录来自奥克兰警察局和阿拉米达郡地区检察官办公室。谅解备忘录(Memorandum of Understanding,MOU)中的这些文件日期为2016年12月27日。文件表明,奥克兰警察局与阿拉米达郡检察官办公室签订5年期的无成本合同,奥克兰警察局可以使用阿拉米达郡检察官办公室的基站模拟器。

奥克兰市议会表决一致通过这项决议。虽然奥克兰警察局过去十多年使用的是“黄貂鱼”(StingRay)手机跟踪设备。由于大部分通信运营商放弃使用GSM(2G)移动网络,因此“黄貂鱼”很快便成为明日黄花,2013年默默退出舞台。在3G系统上运行的基站模拟器可以将4G手机网络变为2G,并能访问数据,这就可以解释奥克兰警察局希望升级到功能更强大的4G基站模拟器(例如Harris 公司的HailStorm)的原因。

阿拉米达郡执法机构长期以来一直在规划这一举措。2015年,阿拉米达郡监督委员会投票完成升级。2014年,弗里蒙特警察局、奥克兰警察局与美国军备控制和裁军署(Arms Control and Disarmament Agency,ACDA)联合申请国土安全部拨款资助该举措。ACDA为什么会花如此长的时间完成采购,或将升级用于哪个IMSI捕捉器,尚不清楚。但选择HailStorm合乎情理。

虽然大家都知道,美国联邦机构有时会将IMSI捕捉器外借,但很少会看到地方机构明确表示,将这样的设备提供给管辖范围内运营的其它执法机构。然而,这正是议程报告(Agenda Report)在选举后一个月所宣称的内容。

伙伴机构要做的是同意类似的谅解备忘录,设备也可以是它们的。这就进一步证明了在州和地方一级借用该技术需要更严格监督的原因。

加利福利亚一直是执法机构使用基站模拟器和隐私行动主义的温床。这样一来,就产生了在理论上欲削弱移动电话监控的立法,包括要求搜索令,并要求每个采购IMSI捕捉器的加利福利亚的执法部门制定内部政策,以此监管捕捉器的用途。

最近通过的决议似乎就是这样,并用强硬的措辞限制基站模拟器的用途和潜在滥用行为。虽然这些设备太具干扰性,以至出现规避限制的企图,但框架内的许多政策非常明确,明确规定了美国执法机构要特别注意的基准。

至关重要的是,奥克兰警察局同意基站模拟器在搜索和营救行动、定位大规模伤亡事件的受害者、搜索失踪人员和逮捕逃犯中的限制用途。这是一个法律途径,如果该警局不遵守这些指令,他们可能要负法律责任。其授权的限制用途如下:

A. 当在大规模伤亡事件中使用时,基站模拟器将获取模拟器目标附近所有设备的信令信息,但仅限于定位需要帮助的人或用于进一步的恢复工作。在此期间从移动设备接收的任何信息仅用于这些有限制性的目的。按照这项政策的规定,应在工作结束时清除接收的此类信息。

B. 基站模拟器技术将不得用于“人群管理”(Crowd Management)事件。

C. 基站模拟器作为信号塔传输信息,从移动设备获取识别信息。当奥克兰警察局使用该模拟器时,此信息受限。奥克兰警察局使用的基站模拟器仅限于提供:a)方位角(球面坐标系中的角度观测);b)信号强度;c)当定位单个个体时的目标设备标识符,或大规模伤亡事件的所有设备标识符。

该协议还设法限制可被拦截的内容种类,但是,尚不清楚如何实现——即刻删除或配置设备,拦截非常有限的信息种类。

必须每24小时删除设备数据一次,除非数据用于执行中的任务(每10天删除)。强制清理数据只是保护局外人信息的良好开端。因为定位手机的过程中,此设备会收集局外人的信息。

这就是奥克兰隐私顾问委员会(Oakland Privacy Advisory Commission)的部分工作。该委员于2016年1月成立,是首批美国负责监管监控的政府机构之一。该委员会倡导公民的隐私权。谅解备忘录和议程报告多次表彰该委员会,因为他们帮助制定了MOU和奥克兰警察局的隐私政策。未来几年,不知道地方政府成立隐私委员会的范围会不会拓宽。

相关阅读:在2016年,民权组织纽约公民自由联盟得到的文件表明,自2008年以来,纽约警察局在调查强奸、凶杀和其他案件以及寻找失踪人员等至少1000个场合使用过‘黄貂鱼’手机追踪设备。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存