由於Facebook(臉書)的打卡功能可能會導致自身行蹤曝光,但如果利用偽造地理位置應用軟體,其本身的可信度也是有待商榷。鑑識人員往往會透過調閱手機通聯紀錄,找出不法企圖者與那些人員聯絡,並進一步查出聯絡者的身分與背景,以及當時的位置等相關資訊。
許多這樣的頻寬分享系統合作,已經在之前被提出來了,但是動機、信任及安全仍然是主要問題。一個同等式的網路可能會從愛麗絲的手機去下載不合法的內容,而這會引起她合法麻煩或只是透過她的頻寬不勞而獲。
藉由選擇信任的朋友,好幾個如此的問題將可以避免掉。頻寬分享的情節可以類推到Wi-Fi存取點,與同等的手機分享運算,可以幫助進行加強運算的工作,例如解密及解碼一個即時影片。
社交建議
當愛麗絲在餐館完成晚餐後,可以利用社交軟體來建議這餐館某些改善項目,或只表達她對餐館的意見,建立愛麗絲社交圈的資訊。
當她的朋友是在餐館附近時,並且決定上這餐館的時候,他們的手機可以獲得愛麗絲的建議,並且幫助他們選擇餐館。照著此方法,這樣的模式可以延伸到各層面的建議上。
當地商店
在龐大的鄰近地區內,使用手機裝置去得到商店上的資訊是相當普及的。在這裡,使用者首先會想要得到一個附近商店的概括情形,然後再放大置於一些選擇的網站上,並且檢視朋友對於這些地點的意見。
同樣地,使用者也想要在附近或是整個地區的商店表達意見。相同的功能預計也會在這樣的情節發生,當使用者是在家並且有興趣知道特定地區的商店時。
待辦事項提醒
使用者可以在有趣的地方,透過這類應用程式留下待辦事項提醒他們的朋友。不管何時,只要當他們的朋友是在這個地方的附近,手機便會提醒有待辦事項。
例如,使用者可能會對一個派對地點或時間的更新而留下提醒者,在雜貨店附近留下需購物的清單提醒給朋友(家人、室友或是他們自己)。同樣地,使用者可以藉由留下他們跑步行蹤的提醒,記錄並分析其運動的習慣。
好友定位器
有興趣記錄目前朋友的位置,或者有興趣知道是否有朋友在附近的使用者,可以使用這個軟體。好幾個這樣的軟體已經面市,而且使用者藉由這個伺服器來分享自身的位置資訊。而伺服器計算使用者之間的距離,並且通知人們何時是在某個距離。
何謂作弊者編碼
社群媒體網站結合地理位置服務(LBS)而成的四方廣場(Foursqure),已經採取作弊者編碼(Cheater Code)來防止位置欺騙攻擊。其中一項功能是驗證使用GPS功能的設備位置。
假如使用者宣稱的目前位置與手機裡的GPS所報告的位置相差太遠,那麼打卡的動作將會被認為無效,並且將不會產生獎勵。
除了利用GPS來驗證位置之外,作弊者編碼也包含多樣式的規則,在四方廣場的伺服器上執行並決定使用者是否位置詐欺。
透過經驗查出一些規則,這些規則巧妙地操縱位置詐騙,以通過作弊者編碼的監控。採取作弊者編碼,而決定位置的標準如下:
頻繁的簽到(Frequent check-ins)
使用者不能在同一個小時內、在相同的地點進行打卡。這個規則避免使用者為了得到許多點數而頻繁的打卡,以及讓自己的名字位在最近打卡的前幾名,以便其他人可以容易地了解使用者對於這地點的評論。
超人速度(Super human speed)
假如使用者連續地打卡,而每個打卡的位置都相距很遠,四方廣場將會認為這使用者是以超人的速度移動,並且對他的打卡都拒絕給予獎勵。這條規則藉由單一使用者只能在小的地理區域移動,來避免位置欺騙。
一連串的簽到(Rapid-fire check-ins)
假如使用者在180公尺乘180公尺的平方面積內,在一分鐘的間隔內打卡多個地點(例如在購物商場內),那麼四方廣場會在使用者進行第四次的打卡時,發出一個「一連串打卡」的訊息警告。這條規則阻止使用者在一個小區域和一個短暫的時間內打卡多個地點。
這些規則基本地限制使用者每天可以打卡的數量,因此減低了自動化欺騙的可能性。
通過GPS驗證的位置欺騙
使用四方廣場這類的定位服務,使用者需安裝應用軟體在智慧型手機上,以便讓GPS可以抓到位置資訊。因為這樣的情況完全在客戶端執行,所以它很容易被破解。
由四方廣場應用軟體的原始程式碼,確認它是由手機相關的GPS介面來得到GPS的位置資訊。有關位置欺騙的概念如圖1所示。
|
▲圖1 位置欺騙方法。 |
正常來說,手機的GPS模組將會回傳目前的位置到定位系統服務的應用軟體,但是攻擊者阻止這樣的模式,並提供假的位置資訊給定位服務應用軟體,以便讓伺服器相信這手機的確是在所偽造的位置上,然後這樣欺騙手法的打卡將被認可。
對於攻擊者來說,藉由提供四方廣場應用軟體偽造的GPS座標,並要通過GPS的驗證,有好幾種方法:
透過GPS的程式介面
這個方法修改了智慧型手機作業系統裡的GPS相關介面,以便讓它回傳偽造的GPS資料。因為開放原始碼的作業系統(如Android系統)很普遍,所以這樣的手法是很容易。
藉由修改這些介面,可從手機的GPS模組以外的地方(如回傳偽造GPS座標的伺服器或是只從當地的檔案)來得到GPS的位置資訊。
這方法僅限於開放原始碼的作業系統,但是自從像四方廣場這樣的定位服務系統,提供應用軟體在主流的智慧型手機平台上(Android、iPhone、Blackberry),這已經是一個很普遍的欺騙方法,代表當駭客在Android系統進行欺騙,即可跨平台地在各式手機系統內進行定位服務的欺騙。