安全|NSO被指仍无视用户隐私:疑在接触者技术演示中使用真实数据

据外媒TechCrunch报道 , 研究人员得出结论 , 间谍软件制造商NSO集团在向政府和采访人员展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据 。NSO是一家私营情报公司 , 以开发并向各国政府出售其Pegasus间谍软件而出名 。

安全|NSO被指仍无视用户隐私:疑在接触者技术演示中使用真实数据
文章图片

今年早些时候 , 该公司继续展开攻势推销其名为Fleming的联系人追踪系统 , 旨在帮助各国政府追踪COVID-19的传播 。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播 。NSO分别向几家新闻媒体展示了Fleming , NSO表示 , 它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策 。
【安全|NSO被指仍无视用户隐私:疑在接触者技术演示中使用真实数据】然而在5月的时候 , 一位安全研究员告诉TechCrunch , 他发现了一个暴露的数据库 , 其存储着数千个NSO用来演示Fleming如何工作的位置数据点— 。
为此TechCrunch向NSO报告了这一明显的安全漏洞 , 该公司虽然对该数据库采取了保护措施 , 但表示这些数据并非是基于真实的数据 。
NSO声称这些位置数据是假的 , 这跟以色列媒体的报道有所出入 。以色列媒体报道称 , NSO使用了从广告平台获得的手机位置数据来“训练”该系统 。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示 , 她披露NSO告诉她 , 这些数据是从数据中间商那里获得的 。据悉 , 这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据 。
针对这一情况 , TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查 。研究人员于周三公布了他们的研究结果 , 他们得出的结论是 , 这些暴露的数据可能是基于真实的手机定位数据 。研究人员指出 , 如果这些数据是真实的 , 那么NSO相当于侵犯了NSO间谍软件客户--卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私 。
研究人员分析了一个暴露的手机位置数据样本 , 通过寻找他们期望在真实的人的位置数据中看到的模式 , 比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间 。研究人员还发现 , 跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置 , 此时就会产生类星星的模式 。
研究人员指出:“我们样本中的空间‘不规则’--真实移动位置轨迹的常见特征--进一步支持了我们的评估 , 即这是真实数据 。因此 , 数据集很可能不是‘虚拟的’也不是计算机生成的数据 , 而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据) 。”
研究人员绘制了地图、图表并通过可视化手段来解释他们的发现 , 同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性 。
移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论 。
Miller表示 , 人口中心周围的数据点数量有所增加 。“如果你在一个给定的时间点上做一个手机位置的散点图 , 郊区和城市的位置点数将会是一致的 。”另外Miller还发现了人们一起旅行的证据 , 他指出这“看起来跟真实的手机数据一致” 。此外 , Miller还表示 , 即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息 , 如他们在哪里生活和工作以及他们拜访过谁 。

安全|NSO被指仍无视用户隐私:疑在接触者技术演示中使用真实数据
文章图片

Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用 , 这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量 。“但它从来都不是完美的 。如果你看广告数据 , 它看起来很像这个 。”Scott-Railton还表示 , 使用模拟数据进行接触追踪系统将会“适得其反” , 因为NSO想要让Fleming掌握尽可能真实和有代表性的数据 。”“整个情况表明 , 一家间谍软件公司再次无视敏感和潜在的个人信息 。”
不过NSO否认了研究人员们的发现 。“我们没有看到所谓的检查 , 必须质疑这些结论是如何得出的 。尽管如此 , 我们仍坚持我们在2020年5月6日做出的回应 。该演示材料并非基于跟COVID-19感染者有关的真实数据 , ”一位不愿透露姓名的发言人回应称 , “正如我们上一份声明所述 , 演示所用的资料并不包括任何可辨识个人身分的资料 。而且 , 如前所述 , 这个演示是基于模糊数据的模拟 。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具 。NSO不会为系统收集任何数据 , 也无权访问所收集的数据 。”
NSO没有回答TechCrunch提出的具体问题 , 包括数据从何而来以及如何获得 。该公司在其网站上称 , Fleming已经在世界各国运营 , 但当被问及其政府客户时 , 该公司拒绝证实或进行了否决 。
这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式 , 眼下 , 该公司正在美国打一场官司 , 而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息 。据悉 , NSO卷入了一场跟Facebook旗下WhatsApp的诉讼 , 后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus , 其中包括采访人员和人权捍卫者 。NSO表示 , 它应获得法律豁免权 , 因为它是在代表各国政府行事 。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持 , 另外它们还呼吁法庭驳回NSO的豁免权要求 。

    推荐阅读