利用个性化配置辨识移动设备(Fingerprinting Mobile Devices)

作者:{Persist}@ArkTeam

原文作者:Andreas Kurtz*, Hugo Gascon, Tobias Becker, Konrad Rieck, and Felix Freiling

原文题目:Fingerprinting Mobile Devices Using Personalized Configurations

原文来源:Proceedings on Privacy Enhancing Technologies

最近,苹果禁止了对硬件标识符的访问,这些标识符经常用被第三方应用来追踪用户,本文研究出了一种在此情况下利用个性化配置仍然可以唯一辨识用户的方法,本实验是面向iOS平台的,本文寻找了29个不同的配置特点(见图1)去计算用户”指纹(FingerPrinting)”,这些配置信息都可以被任意APP通过iOS的SDK直接拿到。 随后本文通过8000多台移动设备对该方法进行了实验评估,识别准确率高达97%。

本文最大的现实挑战就是要平衡多样性和稳定性,使用的特点越多可以标识的设备就越多,但是移动设备有些特点会经常改变,所以相应的稳定性就会降低,匹配的时候”指纹”的相似性就会降低,本文提出了一种利用监督学习的方法来决定了一个相似性阈值,达到阈值便可以认为是同一个设备。


图1 个性化配置信息

本文方法完全是基于软件的,而且所有利用SDK拿到的标识信息在传送前利用哈希函数匿名处理。

本文大多使用的是非上下文相关的数据(常量或者是一些时间变量),如图1所示,这些特点又分为公共资源和受保护资源,受保护资源需要请求用户权限,除了SDK可以提供的信息外,本文还利用一些文件系统的信息,如安装的软件列表、常听歌曲的前50首等。此外,本文还发现了Apple并未对AppleID做隐私处理的安全隐患。

在指纹相似性比较上,由于不同特点的数据类型和结构不同,首先扁平化”指纹”结构(图2),然后使用Jaccard相似系数去计算两个集合的相似性,见图3。


图2 扁平化指纹结构


图3 jaccard相似系数公式

发表评论

电子邮件地址不会被公开。 必填项已用*标注