NSO被指仍無視用戶隱私:疑在接觸者技術演示中使用真實數據

cnbeta 發佈 2021-08-03T07:45:25.968551+00:00

據外媒TechCrunch報導,研究人員得出結論,間諜軟體製造商NSO集團在向政府和記者展示其新型COVID-19接觸者追蹤系統時使用了數千名不知情的人的真實手機定位數據。NSO是一家私營情報公司,以開發並向各國政府出售其Pegasus間諜軟體而出名。

據外媒TechCrunch報導,研究人員得出結論,間諜軟體製造商NSO集團在向政府和記者展示其新型COVID-19接觸者追蹤系統時使用了數千名不知情的人的真實手機定位數據。NSO是一家私營情報公司,以開發並向各國政府出售其Pegasus間諜軟體而出名。

今年早些時候,該公司繼續展開攻勢推銷其名為Fleming的聯繫人追蹤系統,旨在幫助各國政府追蹤COVID-19的傳播。Fleming的設計目的是讓政府能從手機公司獲取位置數據進而可視化和跟蹤病毒的傳播。NSO分別向幾家新聞媒體展示了Fleming,NSO表示,它可以幫助政府在不損害個人隱私的情況下做出公共衛生決策。

然而在5月的時候,一位安全研究員告訴TechCrunch,他發現了一個暴露的資料庫,其存儲著數千個NSO用來演示Fleming如何工作的位置數據點—。

為此TechCrunch向NSO報告了這一明顯的安全漏洞,該公司雖然對該資料庫採取了保護措施,但表示這些數據並非是基於真實的數據。

NSO聲稱這些位置數據是假的,這跟以色列媒體的報導有所出入。以色列媒體報導稱,NSO使用了從廣告平台獲得的手機位置數據來「訓練」該系統。學術和隱私專家Tehilla schwartz Altshuler也參加了Fleming的演示,她披露NSO告訴她,這些數據是從數據中間商那裡獲得的。據悉,這些中間商出售從數百萬部手機上安裝的應用中收集的大量綜合位置數據。

針對這一情況,TechCrunch邀請了倫敦大學金史密斯學院研究和調查侵犯人權行為的學術機構Forensic Architecture的研究人員展開調查。研究人員於周三公布了他們的研究結果,他們得出的結論是,這些暴露的數據可能是基於真實的手機定位數據。研究人員指出,如果這些數據是真實的,那麼NSO相當於侵犯了NSO間諜軟體客戶--盧安達、以色列、巴林、沙烏地阿拉伯和阿拉伯聯合大公國的32,000個個人的隱私。

研究人員分析了一個暴露的手機位置數據樣本,通過尋找他們期望在真實的人的位置數據中看到的模式,比如人們在大城市的集中程度以及測量個人從一個地方到另一個地方的旅行時間。研究人員還發現,跟真實數據相關的空間不規則性如當跟衛星的視線被高樓擋住時手機會試圖精確定位其位置,此時就會產生類星星的模式。

研究人員指出:「我們樣本中的空間『不規則』--真實移動位置軌跡的常見特徵--進一步支持了我們的評估,即這是真實數據。因此,數據集很可能不是『虛擬的』也不是計算機生成的數據,而是反映了可能從電信運營商或第三方來源獲得的實際個人的移動(數據)。」

研究人員繪製了地圖、圖表並通過可視化手段來解釋他們的發現,同時他們還保留了那些將位置數據輸入到NSO的Fleming演示中的個人的匿名性。

行動網路安全專家、網絡情報公司Exigent Media創始人Gary Miller查看了一些數據集和圖表並得出了這是真實手機位置數據的結論。

Miller表示,人口中心周圍的數據點數量有所增加。「如果你在一個給定的時間點上做一個手機位置的散點圖,郊區和城市的位置點數將會是一致的。」另外Miller還發現了人們一起旅行的證據,他指出這「看起來跟真實的手機數據一致」。此外,Miller還表示,即使是「匿名化」的位置數據集也可以用來透露一個人的很多信息,如他們在哪裡生活和工作以及他們拜訪過誰。

Citizen Lab高級研究員John Scott-Railton認為這些數據可能來自手機應用,這些應用混合使用了直接的GPS數據、附近Wi-Fi網絡和手機內置的傳感器以提高定位數據的質量。「但它從來都不是完美的。如果你看廣告數據,它看起來很像這個。」Scott-Railton還表示,使用模擬數據進行接觸追蹤系統將會「適得其反」,因為NSO想要讓Fleming掌握儘可能真實和有代表性的數據。」「整個情況表明,一家間諜軟體公司再次無視敏感和潛在的個人信息。」

不過NSO否認了研究人員們的發現。「我們沒有看到所謂的檢查,必須質疑這些結論是如何得出的。儘管如此,我們仍堅持我們在2020年5月6日做出的回應。該演示材料並非基於跟COVID-19感染者有關的真實數據,」一位不願透露姓名的發言人回應稱,「正如我們上一份聲明所述,演示所用的資料並不包括任何可辨識個人身分的資料。而且,如前所述,這個演示是基於模糊數據的模擬。Fleming系統是一套分析由終端用戶提供的數據以在全球大流行期間幫助醫療保健決策者的工具。NSO不會為系統收集任何數據,也無權訪問所收集的數據。」

NSO沒有回答TechCrunch提出的具體問題,包括數據從何而來以及如何獲得。該公司在其網站上稱,Fleming已經在世界各國運營,但當被問及其政府客戶時,該公司拒絕證實或進行了否決。

這家以色列間諜軟體製造商推動接觸追蹤被視為修復其形象的一種方式,眼下,該公司正在美國打一場官司,而該官司可能會揭露更多關於購買其PegASUS間諜軟體的政府的信息。據悉,NSO捲入了一場跟Facebook旗下WhatsApp的訴訟,後者去年指責NSO利用WhatsApp的一個未披露的漏洞讓約1400部手機感染了Pegasus,其中包括記者和人權捍衛者。NSO表示,它應獲得法律豁免權,因為它是在代表各國政府行事。但微軟、谷歌、思科和VMware本周提交了一份法庭之友陳述書以表示對WhatsApp的支持,另外它們還呼籲法庭駁回NSO的豁免權要求。

關鍵字: