我知道你在哪里

现在包含 GPS 等定位装置的设备越来越多,在造就一系列 LBS 服务,方便我们使用的同时,隐私问题也不得不重视起来,因为你的一个设备通过一种服务所获得的位置信息,就有可能被大量其他设备和服务使用。为什么这样说?

刚才在使用 Google+ 发布信息的时候遇到一个非常怪异的问题。我使用了一台没有包含 GPS 或其他定位装置的笔记本电脑,通过 Chrome 浏览器在 VPN翻墙的情况下访问 Google+,并发布一条包含地理位置的信息。本来位置信息这个功能只是想试验一下,因为我觉得所用的电脑没有定位装置,应该不会包含准确的定位信息。而就算使用 IP 地址,因为挂着 VPN,因此也只能确定到 VPN 服务器所在地的位置,我的位置应该是无法确定的。不过神奇的是,很快我的实际的,准确的位置信息就被确定下来了。

经过 @在度假中 同学的提醒,才想起来有这样一种情况:基于Wifi网络的定位系统

首先需要清楚一点,Google、Microsoft、Apple 这些 IT 巨头们目前都非常热衷于这东西,不过至少现阶段这个功能还是选择性接受的,默认并没有开启,只有在同意后才会生效。虽然具体的实施方式可能有所不同,不过基本原理都是差不多的。

那么开始说说这种定位方式的实现原理。为了排除各种可能的干扰,下面会假设一个完全“干净”的环境:可连接互联网的 Wifi 路由器、包含 GPS 功能的 Android 手机,以及不包含 GPS 功能,但可以访问 Wifi 网络的其他电子设备,例如电脑、手机、平板、游戏机、电子书…所有这些设备都是新买的,以前没有使用过。

首先把带有 GPS 的 Android 手机开机,初始设置中,系统会询问是否允许 Google 收集并使用手机的位置信息,允许它使用。然后这台手机连接到 Wifi 路由器,并通过手机的 GPS 功能确定所处位置。随后,手机就会自动定期将通过 GPS 确定的位置信息,以及当时所连接 Wifi 路由器的 Mac 地址都发送给 Google(或其他位置数据供应商)。因此 Google 就会知道特定 Mac 地址的 Wifi 路由器的准确位置。

随后,任何其他设备,只要是通过这个 Wifi 网络访问互联网,并且需要位置数据,哪怕设备本身不包含 GPS 功能,也将可以获得相当准确的定位。

Google 的街景拍摄车不仅拍照,还收集 Wifi 信息以前,Google 甚至通过街景拍摄车拍照的同时收集沿途 Wifi 网络的信息,这个消息一经披露就引起了轩然大波。因此现在 Google 已经停止了这种做法,不过通过用户自己的设备来收集这类数据明显更温和,更易于被接受,同时所能获得的数据量也更庞大,范围更广泛。

总的来说,这个技术就意味着:一旦你使用带有 GPS 定位功能的设备连接了某个 Wifi 网络,只要该 Wifi 网络是固定的,那么以后其他任何连接该网络的设备,都将能获得精确的定位。

可以像想得到,随着移动设备的进一步普及,这类地理位置信息将成为未来其他各项服务的基础数据,因此各大巨头们,无论从事软件、硬件、互联网,以及服务行业,对于这类数据都是非常看重的,并且都在通过各种可能的方式进行收集。不光 Google 这样做,主流的手机和平板平台厂商都在这样做。

Google 对于这个功能有一个文档,介绍了一些概括性的数据。虽然这文档是2010年发布的,但依然能从中看出这功能的价值所在。如此密密麻麻的热点和设备,定位的精确度甚至可能比单纯的 GPS 系统更高更快速。

密集的 Wifi 热点,令人担忧的隐私

除了收集和提供此类数据的平台厂商外,浏览器开发商们也在为这个功能添砖加瓦。尤其是在现在非常热门的 HTML5 标准中,就专门针对位置功能提供了对应的 Geolocation API,这也就使得位置信息的利用范围更广。

当然,隐私问题也在考虑中。上文就说过,只有经过用户允许后,各种设备才能定位并将位置信息上传给位置供应商。而在浏览器中,要想通过相应 API 获得位置信息,更是需要用户的批准。例如这里有一个范例,对比了通过 IP 地址定位,以及通过 Wifi 定位这两种方式获得的结果。在使用支持 HTML 5的浏览器首次访问该页面时,浏览器会询问是否允许使用位置信息。

我想知道你在哪里

如果允许,那么网站(也许是正常网站,也许是恶意网站)就可以知道你在哪里。下图是演示的实际效果,上方是通过 IP 地址确定的大致位置(因为挂着 VPN,所以显示为 VPN 服务器的所在位置,不是我本人的位置),下方是通过 Wifi 定位确定的位置。IP 地址方式不需要预先确认,但准确率很成问题;不过 Wifi 方式的定位么…

定位的准确度完全不成问题

根据 Google 的介绍,只要在自己 Wifi 网络的 SSID 尾部添加“_nomap”字样,即可停止通过该网络提供位置数据。但这只是 Google 一家的做法,其他厂商也许并不会理会这种后缀。同时,这种方式全凭厂商自觉了。

最后的一些想法和建议:

  • 不得不承认,这种定位方式确实极大地方便了正常使用,但也容易造成一定的隐私困扰。虽然这类机制提供了相应的开通或关闭,允许或拒绝等控制能力,但无法确保就不存在漏洞,或者存在被滥用的可能性。
  • 除非专门带有定位功能的程序或设备,对于一般的网页浏览,只有新一代的支持 HTML5 技术的浏览器才能使用这种定位方式。因此如果你依然在使用老掉牙的 IE 6,那还是安安心心该干啥就干啥吧,这事和你没啥关系。
  • 如果你已经在使用新一代浏览器,那么就需要注意浏览器询问是否提供位置信息的相关提示,如果不是非常必要,尽量不要随随便便一个网站就批准。此外这类浏览器都会有一个“允许列表”,建议定期检查该列表,看其中是否有什么可疑站点。因为很有可能,以后的恶意程序为了获取你的位置信息,会通过其他方式在浏览器外直接将自己添加到允许列表中。
  • 这类通过手机等设备收集位置信息的功能是独立存在的,和手机上的地图、定位、导航等功能没有任何关系。也就是说,就算你的手机没有装导航和地图等应用,但依然可以将位置信息发送出去。这一选项是在初始设置中进行的。主要移动平台的相关介绍:Android | Windows Phone | iOS
分享:

《我知道你在哪里》上有1条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

发表评论前,先做个简单的数学题吧: * Time limit is exhausted. Please reload CAPTCHA.