捍卫隐私(3)

  伯利兹当局在调查中自然认为迈克菲是犯罪嫌疑人。迈克菲在自己的博客中说,当他听到管家说警方想找他问话时,就跑出去躲了起来。他变成了逃犯。但最终让执法部门找到他的并不是他的博客,而是一张照片。这张照片甚至都不是他自己的。

  安全圈内以“Simple Nomad”之名为人所知的马克·洛夫莱斯(Mark Loveless)是一位安全研究者。他注意到, Vice杂志在2012年12月初在Twitter上发布了一张迈克菲的照片。在这张照片上, Vice的编辑与迈克菲一起站在一个热带地区——也许是伯利兹,也许是其他地方。

  洛夫莱斯知道,数字照片会捕获大量有关照片拍摄的时间、地点和方式的信息,他想看看这张照片可能包含哪些数字信息。数字照片是以所谓的可交换图像文件(exchangeable image file,简称EXIF)数据形式存储的。这是照片元数据,其中包含了各种寻常的细节,比如图像的色彩饱和度,这些细节可以让屏幕或打印机准确地重现照片。如果相机具备这种功能,其中还会包含照片拍摄位置的准确经纬度。

  显然,迈克菲与这位Vice杂志编辑的合照是用iPhone 4S的相机拍摄的。一些手机出厂的时候就已经自动启用了定位。洛夫莱斯很幸运:这张在网上发布的照片中包含了约翰·迈克菲的准确地理位置,由此可以发现,他实际上就在伯利兹的邻国危地马拉。

  在后续一篇博客中,迈克菲说他伪造了这些数据,但这看起来不太可能。之后,他又说原本就打算公布自己的位置——很可能是他偷懒才没有这么做。

  长话短说,危地马拉警方拘留了迈克菲,并且不让他离开该国。然后迈克菲生了病,住进了医院,最后才被允许返回美国。

  格雷格·福尔的谋杀案仍然悬而未决。迈克菲现在住在田纳西州,他在2015年还决定竞选美国总统,主张美国政府应采取对网络更加友好的政策。他现在发的博客基本不如以往那么多了。

  当心场景中所隐藏的信息

  假设你是一个雄心勃勃的年轻人,被派到了伊拉克新建立的军事总部,你对此感到很自豪。那你会做的第一件事是什么?你会拿出你的手机来一张自拍。也许会更糟——除了你和你的新巢穴的照片,你还加了几句话,谈了谈这个特定组织中可以使用的先进设备。

  半个世界之外,佛罗里达州赫尔伯特空军基地(Hurlburt Field)的侦察兵正在梳理社交网络并查看这张照片。其中一个士兵说:“我们找到了一个目标。”经过充分确认,几个小时后,3枚联合制导攻击武器炸掉了这栋新建的亮闪闪的军事建筑。这全都是因为一张自拍。

  通常我们不会注意刚拍的自拍照片里面还有什么其他信息。在电影和戏剧中,这被称为“mise-en-scène”,将法语大致翻译过来就是“场景中所具有的东西”。你的照片中可能有拥挤的城市天际线,在你的公寓窗外能看到自由塔。即使是在农村场景中的照片(可能是一个延伸到地平线的大牧场),也可以向我提供关于你生活的地方的有价值的信息。这些视觉信息可以提供细微的地理位置线索,也许能让急于想要找到你的人有迹可循。

  在这个例子中,照片场景里有一个军事总部。

  这张自拍的元数据中带有照片拍摄位置的准确经纬度,即地址位置信息。美国空军作战司令部的鹰·卡莱尔 将军估计,从这张自拍在社交媒体发布开始,到那个总部被完全摧毁,仅有短短的24小时。

  显然,图像文件中的元数据可以被用于定位你的位置。数字图像中的EXIF数据包含拍摄该照片的日期和时间、相机的品牌和型号等信息;如果你拍照的设备激活了定位功能,那还会有你拍照位置的经纬度。美国军方正是使用文件中的这个信息找到了沙漠中的那个军事总部,就像马克·洛夫莱斯使用EXIF数据确定了约翰·迈克菲的位置一样。任何人都可以使用工具读取存储在照片和文档中的元数据——苹果OSX上的文件检查器自带这个功能,Windows可以下载FOCA等工具,Linux也可以下载Metagoofil等工具。

  有时候,暴露你的位置的不是照片,而是应用。

  2015年夏季,毒枭乔奎恩·查普·古兹曼(Joaquin“El Chapo”Guzman)从墨西哥戒备最森严的阿尔蒂普拉诺监狱越狱,然后立即脱离了侦查范围。他真的脱离了吗?

  在他从监狱逃跑2个月后,查普29岁的儿子耶苏·阿尔弗雷多·古兹曼·萨拉查(Jesus Alfredo Guzman Salazar)在Twitter上发布了一张图片。尽管和萨拉查一起坐在桌子上用餐的两个男人都用表情符号挡住了脸,但左侧那个男人的体形非常像查普。萨拉查还进一步给这张图加了描述:“现在是8月,你知道和谁在一起。”这条推文也包含了位置数据——哥斯达黎加,说明查普的儿子没有关闭Twitter的智能手机应用的自动标注功能。

  即使你家里没有逃犯,也需要当心你照片中隐藏的(有时候一眼就能看出来的)数字和视觉信息,它们可以向不认识你的人泄露大量信息,并给你带来困扰。

  人脸识别,个人隐私泄露的罪魁祸首

  网络照片不仅能暴露你的位置,在与某些其他软件程序结合使用时,它们还能暴露关于你的个人信息。

  在2011年,卡内基梅隆大学的研究者亚历山德罗·阿奎斯蒂(Alessandro Acquisti)提出了一个简单假设,他说:“我想看看能不能根据街上随意的一张脸找到对应的那个人的社会保障号码。”然后他发现,这确实是可能的。 通过使用一名学生志愿者的一张普通网络摄像头照片,阿奎斯蒂和他的团队获得了足够多的信息,而这些信息又可以用于获取有关那个人的个人信息。

  想想看,你可以随便在街上拍一张某个人的照片,然后使用人脸识别软件尝试确定这个人的身份。如果没有他本人确认自己的身份,你可能会得到一些错误的匹配。但很可能大多数“命中”的都能够给出正确的名字。

  “在线数据和离线数据正在融合,而你的脸就是融合通道——这两个世界之间的真正连接。”阿奎斯蒂告诉Threatpost,“我认为这是一个相当令人沮丧的教训。真正的隐私理念正在受到侵蚀,我们不得不面对这个现实。在街上或在人群中,你再也没有隐私了。所有这些技术搭配在一起,挑战了我们对隐私的生物期望。”

  为了进行研究,阿奎斯蒂等人在卡内基梅隆大学的校园里让来往的学生停下来,填写一份网络调查。在每个学生参与调查的时候,笔记本电脑上的网络摄像头会给他拍摄一张照片,然后会有人脸识别软件立即在网络上对该图片进行交叉参照检索。在每次调查结束时,屏幕上就会显示几张检索到的照片。阿奎斯蒂说,42%的照片都得到了正确识别并链接到了该学生的Facebook个人资料。

  如果你也使用Facebook,你可能知道其能力有限的人脸识别技术。向Facebook上传一张照片,该网站就会尝试标记出你的人际网中的人,也就是和你加了好友的人。你确实可以对此功能有所控制。进入你的Facebook设置,你可以要求该网站在每次发生这种事情时提醒你选择是否在该照片中被标注。如果你真的在其中,还可以选择只有在你被提醒之后才能将这张照片发布到你的墙或时间线上。

  要让有标记的照片在Facebook中隐身,打开你的账号,进入“隐私设置”。其中有各种选项,包括将图片限制在你的个人时间线内。除此之外,Facebook还没有提供防止他人未经许可标注你的选项。

  谷歌和苹果等公司也在它们的一些应用中内置了人脸识别技术,比如谷歌照片和iPhoto。你也许应该看看这些应用和服务的配置设置,这样就可以限制每个应用和服务的人脸识别技术所做的事情。谷歌目前还没有将人脸识别技术纳入其图像搜索功能(也就是你可以在谷歌搜索窗口中看到的那个小相机图标)。你可以上传一张已有的图片,然后谷歌会找到这张图片,但它不会尝试寻找带有同一个人的其他照片。谷歌已经在各种公开声明中说过,让人们通过人脸识别陌生人的身份“跨过了恐怖的界限”。

  即便如此,美国一些州也已经在使用车辆管理局的照片数据库来识别犯罪嫌疑人了。然而,单独一个学者能做到什么程度呢?

  阿奎斯蒂和他的团队想知道通过网上的交叉参照,能够基于图像找到关于一个人的多少信息。为了得到答案,他们使用了一个名叫匹兹堡模式识别(Pittsburgh Pattern Recognition,简称PittPatt)的人脸识别技术——该技术现已归谷歌所有。PittPatt中所使用的算法已经被授权给了各种安全公司和某些机构。在收购这项技术后不久,谷歌公开阐明了自己的意图:“正如我们过去一年多一直说的那样,我们不会在谷歌中加入人脸识别,除非我们为此做出了一个强大的隐私模型。我们还没有做出来。”希望该公司能言而有信。

  阿奎斯蒂做这项研究的时候,可以将PittPatt与数据挖掘得到的Facebook图像配合使用,他和他的团队认为,这些图像是可以搜索到的档案,即卡内基梅隆大学的志愿者已经贴出的自己的照片和一些特定的个人信息。然后,他们将这个已知人脸的数据集应用到一个流行的在线约会网站的“匿名”人脸上。研究者发现,在这些理应是“匿名的”数字偷心者中,他们可以识别出15%的人的身份。

  然而,最恐怖的实验是将一个人的脸连接到他的社会保障号码。为了做这个实验,阿奎斯蒂及其团队查找了包含这个人的出生日期和所在城市的Facebook档案。在此之前的2009年,同一组研究者曾经表明,这些信息本身就足以让他们找到一个人的社会保障号码(社会保障号码是按照各州自己的格式按顺序发布的,而1989年以来,发放的社会保障号码都包含生日或非常接近生日的数字,这让研究者可以更加轻松地猜出一个人的后4位数字)。

  初步计算之后,这些研究者向卡内基梅隆大学的学生志愿者发送了一份后续调查,询问他们的算法所预测的社会保障号码的前5位数字是否正确。调查结果显示,其中大部分都是正确的。

  删除照片并不意味着照片会消失

  现在我敢打赌,有些照片你并不想发到网上。否则,你很有可能没法再将其撤出网络——即使你可以从你的社交媒体网站上删除它们也无济于事。部分原因是,一旦你将某些东西贴到了社交网络上,它就归该网络所有了,不再受你掌控。而且你也已经在服务条款中同意了这个条件。

  如果你在使用谷歌照片应用,删除了照片也并不一定意味着照片消失了。用户已经发现,即使从他们的移动设备中删除了该应用,这些图片也仍然存在。为什么呢?因为这些图像到达了云后就独立于应用了,这意味着其他应用也许还能访问并继续显示你删除的图像。

  这种事有真正实际的后果。比如你曾对某个人的照片发布过一些愚蠢的描述,而这个人现在恰好在你正应聘的公司工作。或者你贴出了一张你与某个你不希望你当前的配偶知道的人在一起的照片。尽管账号可能是你个人的,但数据却是社交网络的。

  你可能从没有费心阅读过任何网站的使用条款,但还是在这些网站上发布了你的个人数据、日常经历、想法、意见、故事、牢骚和抱怨等内容,或者你购物、玩耍、学习和互动的位置,也许每天甚至每个小时都在发。大多数社交网络网站需要用户在使用它们的服务之前同意其条款和条件。这些条款中常常包含允许网站存储从用户那里获得的数据以及将其共享给第三方的款项,人们对这种做法尚存争议。

  多年来,Facebook的数据存储政策一直都备受关注,其中包括该网站使得用户难以删除自己的账号这个事实。而且Facebook并不是唯一一家这么做的公司。很多网站的使用条款中几乎都有一样的说辞。如果你在注册之前阅读过这些条款,你很有可能会被吓跑。这里就有一个例子,来自Facebook在2015年1月30日的条款:

  您拥有您发布在Facebook上的所有内容和信息,您可以通过您的隐私和应用设置控制这些内容和信息的分享方式。此外:

  1.对于知识产权所涵盖的内容,比如照片和视频(知识产权内容),您根据您的隐私和应用设置明确地给了我们以下许可:对于您在Facebook链接之上或之中发布的任何知识产权内容,您向我们授予了非排他性的、可转让的、可分发的、无版税的全球使用许可(知识产权许可)。当您删除您的知识产权内容或您的账号后,这种知识产权许可就会结束,除非您的内容已经被其他人分享且他们还没有删除。

  换句话说,这家社交媒体公司有权以任何它想要的方式使用你在其网站上发布的任何东西。它可以出售你的照片、你的观点、你写的文章或你发布的任何东西,用你的贡献赚钱,却一分钱也不用给你。它可以使用你发布的评论、批评、意见、诽谤、谣言(如果你喜欢这样的事情),以及你发布的关于你的孩子、老板或爱人的最私人的细节。而且它不一定要匿名地使用:如果你使用了你的真实姓名,那么该网站也可以使用。

  所有这些至少意味着你在Facebook上发布的图像可能会跑到其他网站上去。为了了解世界上是否有任何让人难堪的你的照片,你可以在谷歌中执行所谓的反向图片搜索。要做到这一点,首先点击谷歌搜索窗口中的小相机,然后从你的硬盘上传任何一张照片。几分钟内你就将看到可在网上找到的该图片的任何副本。理论上来说,如果这是你的照片,你应该知道结果中出现的所有网站。但是,如果你发现有人在一个你不喜欢的网站上发布了你的照片,你能做的也很有限。

  反向图片搜索仅限于已经发布过的图片。也就是说,如果网上有一张与你发布过的原图相似却不完全一样的图片,谷歌就找不到它。它可以找到你搜索的图片裁剪过的版本,因为在这种情况下,核心数据或核心数据中的大部分仍然是一样的。

  有一次我过生日,有人想做一张带有我的影像的邮票。然而,Stamps.com这家公司有非常严格的政策,不会使用已被定罪的人的图像。我的图片被拒了。也许他们做了一次网络图片搜索。

  我在某个地方的某个数据库中是已被定罪的罪犯凯文·米特尼克。

  第二年,我的朋友又用一个不同的名字试了一张之前的照片,一张在我广为人知之前拍摄的照片——她推测这张照片应该还没有被上传到网上。你猜怎么着?居然成功了。这张年轻得多的我的照片通过了批准。这说明图片搜索能力有限。

  话虽如此,但如果你确实在网上找到了你不愿意被人看到的照片,你有几个选择。

  首先,联系这家网站。大多数网站都有一个举报滥用的电子邮箱地址——“abuse@网站名.com”。你也许还能通过“admin@网站名.com”联系该网站的管理员,说明你拥有这张图片并且不允许它发布。大多数网站管理员都不会过多纠结就撤下这张图片。但是,如果有需要,你也可以用电子邮件向“DMCA@网站名.com”发送一份《数字千年版权法案》( Digital Millennium Copyright Act,简称DMCA)请求。

  要当心。误报DMCA请求可能会给你带来麻烦,所以如果真要做到这种程度,先去做个法律咨询吧。如果你仍然没法移除这张图片,那就考虑向上游走,联系该网站的ISP(不管是Comcast、GoDaddy,还是其他公司)。大多数人都会严肃对待合规的DMCA请求。

  尽量“模糊”你的个人信息

  除了照片之外,你的社交媒体档案中还有其他什么东西?你不会向地铁上坐在你旁边的人分享了解你所需要知道的一切。同理,在非个人的网站上分享太多个人信息并不好。你永远不知道谁在看你的档案。而且一旦分享了这些信息,你就没法回头了。仔细考虑考虑要把什么东西放进你的个人资料里——不必填满所有的空白,比如你上过的大学(甚至你上大学的时间)。事实上,你填的信息应该尽可能地少。

  你可能也需要专门创造一个社交媒体个人资料。别撒谎,只要刻意给出模糊的事实就行。比如说,你在亚特兰大长大,那就写在“美国东南部”长大或“我来自南方”。

  你可能也需要创建一个“安全”生日(并不是你真实的生日)来进一步隐藏个人信息。一定要记住你的安全生日,因为有时候你需要打电话寻求技术支持,或者需要在被锁定之后重新进入某个网站,这个信息会被用于验证你的身份。

  在创建或调整了你的网络个人资料之后,再花几分钟看看每个网站的隐私选项。比如,在Facebook上你应该启用隐私控制,其中包括标签审查;禁用“向朋友推荐我的照片”;禁用“朋友可以在其他地方标记我”。

  有Facebook账号的孩子可能最让人忧心。他们往往会尽力填满每一个空白框,就连他们的关系状态也不放过。或者他们会天真地公布自己的学校和老师的名字,甚至每天早上要乘坐几站巴士。尽管没必要告诉全世界他们准确的居住位置,但他们仍然可能会这么做。家长需要和孩子加好友,监督他们发布的内容;理想情况下还应该提前讨论一下什么是可以接受的,什么又是不可接受的。

  隐身并不意味着你不能安全地分享有关你个人生活的更新,但这既涉及常识,又需要反复查看你所用的社交网站的隐私设置——因为隐私政策会改变,而且有时候并不是往好的方向改变。不要展示你的生日,甚至你的安全生日也不要展示,或者至少不要让你并不真正认识的Facebook“好友”看到。

  比如,有一个帖子说桑切斯太太是一个很棒的老师。另一个帖子可能是关于阿拉莫小学的工艺品展会的。用谷歌搜一下,我们会发现桑切斯太太在阿拉莫小学教五年级。根据这一点,我们可以猜测这个学生账号的持有人年纪大约10岁。

  尽管《消费者报告》杂志等组织机构警告过那些发布个人信息的人,但人们还是在网上畅所欲言。要记住,一旦这些信息公开,第三方取用这些信息就是完全合法的。

  还要记住,没人强迫你发布个人信息。你可以按自己的想法发布或多或少的信息。在某些案例中,你会被要求填写某些信息。除此之外,都是由你自己决定分享多少信息合适。你需要决定自己的个人隐私水平,还要了解你提供的任何信息都无法撤回。

  为了帮你做出最合适的选择,Facebook于2015年5月推出了一款新的隐私检查工具。尽管有这样的工具,但在2012年,还是有近1 300万Facebook用户告诉《消费者报告》杂志,他们从未设置过或根本不知道Facebook的隐私工具,而且有28%的人把全部或几乎全部的帖子都分享给了非好友。此外,《消费者报告》调查的这些人中,有25%说他们伪造了个人资料中的信息以保护自己的身份,而在2010年这一数字还是10%。至少我们在学习。

  尽管你确实有权发布关于你自己的并不严格准确的信息,但要当心,在加利福尼亚州,冒充其他人发帖是非法的。你不能假冒另一个活生生的人。而且Facebook也有不让你用虚假姓名创建账号的政策。

  实际上,我就遇到过这种事。我的账号曾被Facebook停用过,因为Facebook指控我冒充凯文·米特尼克。那时候Facebook上有12个凯文·米特尼克。在CNET 发布了一篇关于“真正的”凯文·米特尼克被Facebook锁定的报道之后,这件事才得到解决。

  但是,有很多原因可能导致个人需要用不同的姓名发帖。如果这对你很重要,那就找一个允许你匿名或用另一个名字发帖的社交媒体服务。但是,那些网站在广度和覆盖面上不及Facebook。

  加好友要谨慎。如果你已经和这个人见过面,那没问题。或者如果这个人是你认识的某个人的朋友,那也还行。但如果你收到一个主动发来的请求,就要仔细想想了。尽管你可以随时解除与那个人的好友关系,但他依然有机会查看你的全部档案——对于想恶意干扰你生活的人,几秒钟就足够了。我建议最好是限制你在Facebook上分享的所有个人信息,因为在社交网站上一直都有很多人身攻击,甚至在好友之间也有。而且你的好友能看见的数据也可以被他们转发到其他地方,这不需要你的同意,你也没法控制。

  举个例子。曾经有个男人想雇用我,因为他是一起敲诈勒索案的受害者。他在Facebook上遇到了一位令人惊艳的美丽女孩,然后开始给她发送自己的私密照片。这件事持续了一段时间。之后有一天,这个女人(也可能只是使用了女人的照片,实际上是生活在尼日利亚的某个男人)要他给她4 000美元。他照做了,然后又被要求拿出另外4 000美元,否则他的私密照片就会被发送给他在Facebook上的所有好友,包括他的父母;之后他就联系了我。这个情况让他绝望。我告诉他,他真正的选择就是告诉他的家人,或等着看这个敲诈勒索者是否会将威胁落实。我告诉他别再付钱了,只要他继续付钱,这个敲诈勒索者就不会罢手。

  即使是合规的社交网络也可能遭到入侵:某人加你好友的目的可能是接触到你认识的人。执法人员可能正在搜集有关某个嫌疑人的信息,而这个人又正好在你的社交网络中。这种事经常发生。

  据电子前线基金会称,联邦调查人员已经使用社交网络进行被动监控很多年了。2011年,电子前线基金会为美国国税局员工推出了一份38页的训练课程(通过《信息自由法案》获得),该基金会表示,这个课程用于培训通过社交网络开展调查的能力。尽管联邦特工不能合法地假装成别人,但他们可以合法地添加你为好友。这样他们就可以看到你所有的帖子(这取决于你的隐私设置)以及你社交网络中其他人的帖子了。电子前线基金会正在继续研究与这种新形式的执法监控相关的隐私问题。

  小心那些监控社交网络的组织

  如果你发布了让某些组织机构厌恶的内容,它们有时候就会跟踪你,至少是监控你。比如,你对学校的某次考试进行了一番无心的评论。对一名学生而言,这样一条推文可能会带来很大的麻烦。

  有一家考试公司曾为新泽西州沃伦县沃昌山地区高中提供了一次全州范围的考试,后来,当这所中学的校长伊丽莎白·C.朱伊特(Elizabeth C. Jewett)收到了来自该公司的通信时,她的反应是惊讶而非担心。她惊讶的是培生教育(Pearson Education)竟然会看学生的Twitter账号。当未成年人在社交媒体上发布内容时,人们通常都会给他们留一定程度的隐私和操作余地。但学生(不管是初中生、高中生还是大学生)也要认识到他们在网上的所作所为是公开的,有人在看着。在这个案例中,据说朱伊特的一名学生在Twitter上发布了一次标准化考试的材料。

  事实上,这个考试是在新泽西州举行的为期一天的大学和职业准备评估联盟(Partnership for Assessment of Readiness for College and Careers,简称PARCC)考试;这名学生发布的是关于该考试中某个题目的一个问题——并不是试卷的照片,只是几句话而已。这条推文是在大约下午3点发布的,已经是在这一地区的学生结束考试相当久之后了。当校长与发推学生的一位家长谈过话之后,这名学生删除了那条推文。其中没有作弊的证据。这条未向公众披露的推文只是一个主观的评论,而并非是想收集答案。

  但培生的所作所为是一个让人不安的启示。“教育部提醒我们,培生在PARCC考试期间一直在监控所有社交媒体。”朱伊特在发给同事的一封电子邮件中这样写道,而当地一名专栏作家未经她的允许就公开了这封邮件。在这封邮件中,朱伊特证实培生至少还认定了其他三例并将其汇报给了该州的教育部。

  尽管培生并不是唯一一家为了侦测知识产权盗用而监控社交网络的组织机构,它的行为却引出了实实在在的问题。比如,这家公司是如何确定发出这条推文的学生的身份的?培生在提供给《纽约时报》的一份声明中称:“从闲聊到在社交媒体上发帖,任何时候在教室之外分享关于考试的信息都是违规的。再次重申,我们的目标是确保所有学生都能公平考试。每个学生都应该有机会在一个公平竞争的环境中参加考试。”

  《纽约时报》说自己已经通过也参与管理PARCC考试的马萨诸塞州官员证实,培生确实会将和标准化考试相关的推文与登记参加该考试的学生的名单进行交叉参照。培生拒绝了《纽约时报》的评论请求。

  加利福尼亚州也会在其年度的标准化考试与报告(Standardized Testing and Reporting,简称STAR)考试期间监控社交媒体,这已经持续了很多年。在2013年,即该考试在全州进行的最后一年,加利福尼亚州教育部确定,有242所学校的学生在考试进行期间在社交媒体上发过帖,其中有16所学校的学生发布了考试问题或答案。

  “这一事件显著表明了学生在传统学校环境内外受监控的程度,”纽约大学信息法研究所隐私研究员艾拉娜·赛德(Elana Zeide)说,“社交媒体通常被看作是与学校分离的领域。Twitter似乎更像‘校外’的语言,所以培生的监控更像是窥探学生坐在车里的谈话,而不是在学校走廊里的交谈。”

  但是,她又接着说:“这些谈话不仅要以个人利益和危害为重,还要考虑信息实践在更大范围上的后果。不能只是因为卢德主义者 这样的家长无法对他们的孩子实施特定的和立即的伤害,学校和供应商就可以继续忽视他们。反过来,家长也需要理解,学校不能维护他们所有的隐私偏好,因为这还涉及影响整个教育制度的集体利益。”

  Twitter标志性的140字符限制已经变得无处不在,收集了大量有关我们日常生活的看似微不足道的细节。其隐私政策承认它在通过各种网站、应用、短信服务、API(应用程序编程接口)和其他第三方收集并保存个人信息。当人们使用Twitter的服务时,他们就同意了该公司收集、转移、存储、操作、公开和用其他方式处理这些信息。为了创建一个Twitter账号,你必须提供一个名字、用户名、密码和电子邮箱地址。你的电子邮箱地址最多只能用于一个Twitter账号。

  Twitter上的另一个隐私问题关系到推文泄露,即隐私推文被公开。当有隐私账号的人的好友将这个人的隐私推文转发或复制并粘贴到一个公开账号时,就会发生这种事。一旦公开,就再也没法回头了。

  在Twitter上分享个人信息也可能会有危险,尤其是当你的推文公开时(这是默认的)。不要在Twitter上分享地址、电话号码、信用卡号码和社会保障号码。如果你必须分享敏感信息,那就使用私信功能来联系特定的个人。但要当心,即使是隐私推文或私信也可能会被公开。

  对当今的年轻人来说,Facebook和Twitter已经老了。Z世代 在移动设备上的行为是以WhatsApp(讽刺的是,它现在属于Facebook)、Snapchat(不属于Facebook)、Instagram与Instagram Stories(也属于Facebook)为中心的。所有这些应用都注重视觉,让你可以发布照片和视频,或者展示其他人拍摄的照片和视频。

  Instagram是一款分享照片和视频的应用,是Facebook旗下针对更年轻受众的产品。它支持用户之间互相关注、喜欢和聊天。Instagram有服务条款,似乎会响应用户和版权持有者对撤下内容的请求。

  Snapchat可能是这几个应用里面最古怪离奇的,也许是因为它不属于Facebook吧。Snapchat宣称它可以让你向别人发送自毁式照片。这些图片的寿命很短,大概只有2秒,只够收信人看到这张图片。不幸的是,对想要快速截屏的人来说,2秒足够长了;而这些屏幕截图能够长存。

  2013年的冬天,新泽西州的两名未成年高中女生拍摄了自己的私密照片,并使用Snapchat将它们发送给了学校的一个男生;她们想当然地认为这些照片会在发送出去2秒后自动删除。至少Snapchat公司是这样说的。

  但是,这个男生知道如何给Snapchat消息截图,然后他将这些图片上传到他的Instagram上。Instagram可不会在2秒钟后删除照片。无须多言,这些未成年女生的私密照片像病毒一样传播开了。该校的校长不得不向家长们发送了家长信,要求所有学生必须删除手机中的这些图片,否则他们就有因儿童色情内容起诉而被逮捕的风险。至于这3名学生,因为是未成年人,所以不会被指控犯罪,但每个学生都受到了其学区的纪律处分。

  而且不只有女孩给男孩发私密照片。在英国,有一个14岁的男生通过Snapchat将自己的一张私密照片发给了同校的一个女生,他也一样认为这张图片会在几秒钟后消失。但是这个女孩截了图,然后……你猜得到接下来的故事。据BBC报道,尽管这个男孩和这个女孩年纪太小,不会被起诉,但他们将被列入英国一个性犯罪数据库中。

  就像WhatsApp那前后矛盾的图像模糊功能一样,Snapchat虽然承诺会删除图片,但实际上并没有真正做到。在2014年,Snapchat通过了一项美国联邦贸易委员会(Federal Trade Commission,简称FTC)的协议,协议关于起诉该公司在其消息的删除性质方面欺骗了用户,FTC称该公司可以在之后保存或检索这些消息。Snapchat的隐私政策也说自己在任何时候都不会要求、跟踪或读取你的设备上关于位置的信息,但FTC发现这些声明也是假的。

  所有的网络服务都要求用户至少要13岁才能订阅。这就是这些服务会询问你的出生日期的原因。但是,用户还是可以说“我发誓我超过13岁了”什么的;顺便一说,这是做伪证。发现自己10岁的孩子注册了Snapchat或Facebook账号的家长可以举报他们,从而使他们的账号被停用。另一方面,那些想让自己的孩子有一个账号的家长往往会修改孩子的出生日期。这个数据会变成孩子档案的一部分。突然之间,你10岁的孩子就变成14岁了,这也意味着他所看到的网络广告是针对年龄更大的孩子的。还要注意,你的孩子通过该服务分享的每个电子邮箱地址和每张照片都会被记录下来。

  Snapchat应用还会将来自安卓用户的移动设备的基于Wi-Fi和蜂窝网络的位置信息传输给它的分析跟踪服务提供商。如果你是iOS用户并且输入了你的手机号码来寻找好友,Snapchat就会收集到你的移动设备通讯录中所有联系人的姓名和电话号码,而不会通知你或请求你同意,尽管iOS会在其第一次请求时提示你是否允许。如果你想要真正的隐私,我建议你还是使用另一个应用吧。

  在北卡罗来纳州,一名高中生和他的女朋友被指控持有未成年人的私密照片,即使这些照片是他们自己的,而且拍照和分享是两人都一致同意的。他的女朋友面临两项对未成年人进行性侵犯的指控:一项是拍照,另一项是持有这些照片。这意味着除了发送包含性内容的信息,北卡罗来纳州的青少年拍摄和持有自己的私密照片也是非法的。在警方的逮捕令中,这个女朋友既是受害者,也是罪犯。

  她的男朋友则面临着五项指控,包括他给自己拍的两张照片各两项,加上持有一张他女朋友的照片这一项。如果被定罪,他可能会面临长达10年的监禁,并且这辈子都会作为一个性犯罪者被登记在册。所有这些都是因为他拍摄了自己的私密照片,以及保存了一张他女朋友发给他的私密照片。

  谨记退出登录

  在读高中时,我喜欢一个人就会约她出去。现在,你必须将一些信息放在网上,以便别人先了解一下你。但要当心。

  如果你在使用某个约会网站并且使用了别人的计算机进行访问,或者你竟然使用公共计算机进行访问,那始终要记得退出登录。这很重要。你不想让别人点击浏览器上的返回按钮就能看到你的约会信息吧,或者甚至修改你的信息。也要记得取消登录页面上写着“记住我”的勾选框的勾选。你肯定不希望其他人使用这台或任何一台计算机自动登录你的约会账号。

  假设你和某人进行了第一次约会,也许是第二次。但人们通常不会在第一次或第二次约会时就显露出自己的真实自我。一旦你的约会对象在Facebook上加了你的好友或在Twitter等社交网络上关注了你,他就可以看到你所有的朋友、图片、兴趣爱好……情况很快就会变得难以描述。

  关闭你的位置

  我们已经谈过了网络服务,移动应用又如何呢?

  约会应用会报告你的位置,其中一部分是故意设计的。假设你在你所在的地区看到了某个你喜欢的人,然后你就可以使用这个应用查看这个人是否在你附近。Grindr这样的移动约会应用为其用户提供了非常精准的定位信息……也许太过精准了。

  来自网络安全公司Synack的研究者科尔比·穆尔(Colby Moore)和帕特里克·沃德尔(Patrick Wardle)可以向Grindr发送虚假请求来跟踪其服务中的某些人——当这些人在单个城市中行动时才有效。他们还发现,如果用三个账号搜索同一个人,就可以使用搜索结果进行三角定位,从而得到这个人在任何给定时间的更为精准的位置测量。

  也许你没使用约会应用,但即使登录Yelp搜索一家好餐厅也会向第三方提供有关你的性别、年龄和位置的商业信息。该应用的一项默认设置就允许其向餐厅反馈信息,比如告诉这家餐厅有一个来自纽约的31岁女人正在查看它的评价。但你可以进入你的设置,然后在“基本设置”中选择仅显示你的城市(不幸的是,你没法完全关闭这个功能)。 也许避免这种事的最好方法是不要登录,仅以访客身份使用Yelp。

  在地理位置定位方面,一般来说,应该检查一下你使用的任何移动应用是否会广播你的位置。大多数情况下你可以关闭这项功能,可以在每个单独应用中关闭,也可以一起关闭。

  你在同意下载任何安卓应用之前,一定要记得先阅读它的权限。你可以在Google Play中查看这些权限——首先进入这个应用,然后向下滚动到写着“权限”的Google Play内容部分。如果你不满意这些权限,或者认为它们给了应用开发者太多的控制权,那就不要下载这个应用。苹果没有在其商店中提供类似的有关应用的信息,而是在用户使用应用过程中需要某权限时提示授权。事实上,我倾向于使用iOS设备,因为这个操作系统在公开私人信息(比如我的位置数据)之前总是会发出提示。另外,iOS也比安卓安全得多,只要你不越狱你的iPhone或iPad就好。当然,不差钱的对手可以在市场中购买任何操作系统的可利用的漏洞,但可以利用的iOS漏洞相当昂贵——至少需要100万美元。

  

  如果你像大多数人一样整天都带着手机,那你就没有隐身,而是处在监控之中——即使你的手机没有启用位置跟踪。比如说,你的系统是iOS 8.2或更早的版本,苹果会在飞行模式中关闭GPS,但如果你像大多数人一样有一个更新的版本,除非你采取了额外的步骤,否则GPS还是会保持开启,即使处于飞行模式中。为了知晓自己的移动运营商对自己的日常活动的了解程度,德国著名政治家马尔特·斯皮茨(Malte Spitz)向这家运营商发起了诉讼,法院命令该公司移交自己的记录。这些记录数量惊人。在短短6个月的时间里,这家公司就记录了85 000次他的位置,同时也记录了他拨打和接听的每个电话、另一方的电话号码以及每次通话的时长。换句话说,这些都是斯皮茨的手机产生的元数据。而且被记录的不只有语音通信,还有短信。

  斯皮茨与其他组织合作,对这些数据进行了格式化并将其公之于众。有一个组织得出了如图10-1所示的每日总结。图中,早上的绿党会议是根据这家公司的手机记录中的经纬度确定的。

  

  图10-1 马尔特·斯皮茨在2009年10月12日的活动情况

  同样使用这些数据,另一个组织创建了一个动画地图,展示了斯皮茨在德国各地每分钟的活动情况,并且在他每次拨打电话或收到来电时都会显示一个闪动的符号,短短几天就能得到程度如此惊人的细节。

  针对斯皮茨收集的数据不是特例,当然这种情况也不仅限于德国。这只是一个引人注目的案例,说明了你的手机运营商所保留的数据之多。而且只需一纸法令就能使用这些数据。

  2015年,美国联邦第四巡回上诉法院的一个案件就涉及了在美国境内使用相似的手机记录。这个案件中有两个在巴尔的摩抢劫了一家银行、一家7-11便利店、几家快餐餐厅和一家珠宝店的劫匪。警方让Sprint交出了主要嫌疑人的手机在此前221天的位置信息,从而将这些人与一系列犯罪联系到了一起,其中既有根据这些犯罪行为之间的接近程度判断的,也有根据这些嫌疑人与犯罪现场本身的接近程度判断的。

  另一个由美国加利福尼亚北部地区地方法院听取的案件没有详细说明犯罪细节,但它也是围绕Verizon和AT&T所提供的目标的手机的“历史位置信息”展开的。美国公民自由联盟就该案发布了一份非当事人意见陈述,用他们的话说,这些数据“可以生成某个人的位置和运动的连续记录”。根据官方记录,当一位联邦法官在审理加利福尼亚州这个案件期间提到手机隐私时,该案的联邦检察官建议:“担心自己隐私的手机用户可以不带手机或者关闭手机。”

  这似乎违反了保护美国人不受不合理搜查的宪法《第四修正案》。大多数人永远不会认同,只携带一部手机就等同于丧失了自己不被追踪的权利——但现在,携带手机确实意味着这一点。这两个案件都表明Verizon、AT&T和Sprint没有在隐私政策中向消费者说明位置跟踪的范围有多广。AT&T在2011年给国会的一封信中明确表示会将蜂窝数据存储5年,“以防发生计费纠纷”。

  会存储位置数据的不仅有运营商,还有供应商。比如你的谷歌账号就会保存你所有的安卓地理位置数据。如果你使用iPhone,苹果也会有你的数据记录。为了防止别人在这些设备上查看这些数据,以及防止数据备份到云上,你应该定期删除你的智能手机上的位置数据。在安卓设备上,进入“谷歌设置>位置信息>删除位置记录”。在iOS设备上,你还需要钻研一些;苹果没有让这个设置简单一点。进入“设置>隐私>定位服务”,然后向下滚动到“系统服务”,再向下滚动到“重要地点”,然后选择“清除最近历史”。

  在谷歌这个案例中,除非你已经关闭了该功能,否则网上可用的地理位置数据就可以被用于重建你的活动情况。比如说,你日常大部分时间可能都待在同一个地方,但在你见客户或吃饭的时候可能会突然离开一段时间。更让人忧心的是,如果有人获得了你的谷歌或苹果账号的权限,那个人也许就能根据你花费了大部分时间的地方确定你住在哪里或你有哪些朋友,至少能弄清楚你的日常生活惯例可能是怎样的。

  反监视,利用智能应用管理自己的隐私

  所以很显然,现在就算是出去散个步这样的简单行为,也充满了被别人跟踪的机会。假设知道这一点后,你故意把你的手机留在家里,这样应该就能解决被跟踪的问题了吧?嗯,这要视情况而定。

  你是否戴了一个Fitbit、Jawbone的UP智能手环或Nike+FuelBand这样的健康跟踪设备?如果没有,也许你戴了一只来自苹果、索尼或三星的智能手表。只要你戴了其中一种或两种东西,那你仍然会被跟踪。这些设备及其对应的应用是为记录你的活动而设计的,其中往往带有GPS信息,所以不管这些信息是实时广播还是稍后上传的,你都可以被跟踪到。

  sousveillance这个词是由隐私倡导者史蒂夫·曼恩(Steve Mann)创造的,是surveillance(监视)一词的反面。sur是“之上”的意思;而sous是“之下”的意思。所以sousveillance所指的监控不是来自上面(比如被其他人或监控摄像头监控),而是来自下面,即那些我们携带的小设备,有的甚至可能佩戴在我们的身体上。

  健康跟踪设备和智能手表会记录生物特征数据,比如你的心率、你走的步数甚至你的体温。苹果的应用商店里有大量可以在其手机和手表上跟踪健康状况的独立创造的应用。谷歌的Play商店也是一样。而且这些应用会将数据传回其公司,惊呆了吧!这些公司表面上说收集这些数据只是为了方便持有者在未来进行回顾,但它们也会分享这些数据,有时候甚至不会经过你的明确同意。

  比如说,在2015年的环加州赛期间,这场自行车赛的参赛者可以识别出谁超过了他们,并且之后可以通过网络直接发消息给他们。当一个陌生人开始和你谈论你在比赛中的某个特定动作时——甚至可能你自己都不记得有这个动作,就会有点吓人了。

  我就遇到过一件类似的事情。那时我在从洛杉矶前往拉斯维加斯的高速公路上,一个开宝马的家伙突然变道超车。他正忙着操作自己的手机,然后突然就变换了车道,在离我几厘米的地方来了个急转弯,把我给吓坏了。他差点就终结了我们两个人的生命。

  我抓起我的手机,冒充执法人员拨打了车辆管理局的电话,查了他的车牌,然后车辆管理局把他的姓名、地址和社会保障号码给了我。然后我又假装成AirTouch的员工给AirTouch Cellular打了电话,并让他们搜索了他的社会保障号码所对应的蜂窝通信账号。这样我就得到了他的手机号码。

  那个司机突然变道超车后不到5分钟,我就拨打了他的号码,他也接听了。我当时还在颤抖,生气又愤怒。我咆哮道:“嘿,你个白痴,我是5分钟前被你突然超车的那个人,你差点把我们两个都杀了。我可是车辆管理局的人,要是你再做一次刚才那种危险动作,我们就会吊销你的驾照!”

  到现在,他肯定还不知道为什么高速公路上的某个人会有他的手机号码。我希望这个电话能够吓到他,让他变成一个更谨慎的驾驶者。但事实如何谁又知道呢。

  然而,风水轮流转。我的AT&T移动账号也曾被某几个脚本小子通过社会工程手段入侵过一次。这些黑客假装成一家AT&T店的员工,给中西部的另一家AT&T店打了一个电话。他们说服店员重置了我的AT&T账号的电子邮箱地址,这样他们就可以重置我的网络密码并读取我账号的细节了,其中包含我的全部计费记录!

  在环加州赛这个案例中,骑手们使用了Strava应用的Flyby功能来与其他Strava用户共享个人数据,这是默认开启的。在《福布斯》杂志的一篇采访报道中,Strava的国际营销总监加雷思·内特尔顿(Gareth Nettleton)表示:“Strava本质上是一个让运动员连接到全球社区的开放平台。但是,我们非常重视运动员的隐私,而且我们已经采取了一些举措,让运动员可以简单地管理他们的隐私。”

  Strava确实提供了增强的隐私设置,让你能控制谁可以看到你的心率。你也可以创建设备隐私区域,这样别人就没法看到你住在哪里或在哪里工作了。在环加州赛上,客户可以选择退出Flyby功能,这样他们的活动在上传时就会被标记为“隐私”。

  其他的健康跟踪设备和服务也提供了类似的隐私保护。你可能认为自己并不会骑车,而且在办公楼周围的人行道上跑步时也不会突然挡在别人前面,所以你不需要这些保护。这样想有什么害处呢?你还会做其他一些活动,一些隐私的活动,这些活动仍然会通过应用和网络分享出去,由此产生隐私问题。

  就其本身而言,记录睡眠或爬了几层楼梯等行动可能并不会损害你的隐私,尤其是这些行动有特定的医疗保健目的,比如降低你的健康保险费。但是,当这些数据与其他数据结合在一起时,就能产生关于你的全面图景。而且这种情况所能暴露的信息量可能会超出你能接受的范围。

  有一位戴了健康跟踪设备的用户在回顾自己的在线数据时发现,他在发生性行为时心率会有明显的增强。事实上,Fitbit这家公司在其在线录入的活动列表中就会简要地报告性行为。尽管这些数据是匿名的,但终究还是可以通过谷歌搜索到;直到这件事被披露出来后,该公司才很快地将这些数据从谷歌搜索结果中移除。

  有些人可能会想:“那又怎样?”确实,没什么大不了的。但当心率数据和地理位置等数据结合起来时,就可能会有危险了。 Fusion记者卡什米尔·希尔(Kashmir Hill)将Fitbit数据用到了伦理上的极限,她想:“如果保险公司将你的活动数据与GPS位置信息结合起来,从而不仅能确定你在什么时候性爱,还能确定你在什么地方性爱,那会怎样呢?健康保险公司能够识别出每周在多个位置都有性爱的客户,然后根据他所谓的滥交行为认定这个人有更高的医疗风险吗?”

  另一方面,Fitbit数据已经成功地在法庭案件中被用于证明之前无法验证的声明。在一个极端的案例中,一个女人说自己被强奸了,但Fitbit数据表明这是个谎言。

  对警方而言,这个当时正在宾夕法尼亚州兰开斯特出差的女人说她大概在午夜醒来,发现一个陌生人在她身上。她还声称她在挣扎逃脱的过程中丢掉了自己的Fitbit。当警察找到这个Fitbit后,女人同意让他们读取其中的数据,而这个设备却反映了不同的情况。显然这个女人一直醒着,而且整晚都在到处走动。据当地一家电视台报道,这个女人“因为向执法部门提交虚假报告、虚假公共安全报警和损坏证据而遭到起诉——据称她掀翻了家具并且在现场放了一把刀,以便让现场看起来像是她被某个入侵者强奸了一样”。

  另一方面,活动跟踪器也可被用于支持残疾索赔。加拿大一家法律公司使用活动跟踪器数据证明了一位客户的工伤所导致的严重后果。这位客户将自己的Fitbit数据提供给了数据公司Vivametrica,该公司将从可穿戴设备中收集到的数据与一般人群的活动和健康数据进行比较,结果表明该客户的活动水平明显下降。卡尔加里市的McLeod Law有限责任公司的西蒙·穆勒(Simon Muller)对《福布斯》杂志说:“到目前为止,我们一直不得不依赖临床上的解读。现在我们将查看贯穿每一天的更长时间期限,而且我们会有实实在在的数据。”

  即使你没有健康跟踪器,智能手表(比如三星的Galaxy Gear)也能以相似的方式危害你的隐私。如果你能在你的手腕上接受速览通知(比如短信、电子邮件和电话),那么其他人也有可能看到这些消息。

  GoPro是一种可以固定在你的头盔或汽车仪表盘上的小型相机,可用于记录你运动过程的视频,近来GoPro的使用已经出现了极大的增长。但如果你忘记了登录GoPro移动应用的密码,会发生什么呢?以色列的一位研究者借用了他朋友的GoPro以及关联的移动应用,但他没有密码。就像电子邮箱一样,GoPro应用允许你重置密码。但是,其流程存在漏洞——自那以后已经改正了。在重置密码的过程中,GoPro会向你的电子邮箱发送一个链接,但实际上这个链接指向的是一个ZIP文件;你需要将其下载下来并放入该设备的SD卡中。该研究者打开了这个ZIP文件,发现了一个名为“settings”的文本文件,里面有该用户的无线凭证,包括该GoPro用于接入互联网的SSID和密码。该研究者发现,如果他将链接中的数字(8605145)改成另一个数(比如8604144),他就可以取得其他人的GoPro配置数据,其中包含他们的无线密码。

  个人无人机,增强型的偷窥设备

  你可以认为是伊士曼柯达公司(Eastman Kodak)在19世纪第一个十年末期在美国引发了对隐私的讨论——或者至少让人们开始对这种讨论感兴趣了。那时候,照相术还是一种严肃的、耗时的、不方便的艺术,需要专门的设备(相机、光源、暗室),还需要长时间保持不动(在工作室中保持一个姿势)。然后柯达出现了,推出了一款便携且相当实惠的照相机。这类产品的第一款售价25美元——大约相当于现在的100美元。柯达随后又推出了布朗尼(Brownie)照相机,售价仅为1美元。这两款相机都是为家庭和办公室外的拍照设计的。它们就是那个时代的移动电脑和手机。

  忽然之间人们不得不面对一个事实:海滩上或公园里有人可能有一台照相机,而且实际上这个人也可能将你纳入某张照片的画框中。你可得仔细瞧好了。你必须负责任地行动。“这不仅改变了你对照相术的态度,也改变了你对自己被拍摄这件事本身的看法。”国际摄影中心前首席策展人布莱恩·沃利斯(Brian Wallis)说,“所以你不得不在晚餐上表演,在生日聚会上表演。”

  我相信被人看着时,我们的行为确实会有所不同。当我们知道有一台相机正对着我们时,大部分人都会采取最好的行为,当然,毫不在意的人也总是会有的。

  照相术的出现也影响了人们对自己隐私的看法。忽然之间,人们的不当行为可能就有视觉记录了。实际上,现在我们的执法人员都带有车载摄像头和随身摄像头,这样就能记录下人们面对法律时的行为了。而且现在还有人脸识别技术,你可以拍摄某人的一张照片,然后将其与他的Facebook档案匹配。我们现在还有自拍。

  但1888年的时候,这种不间断的曝光还是一种让人震惊和不安的新奇事物。《哈特福德新闻报》( Hartford Courant)敲响了警钟:“稳重的市民不能以任何狂欢的方式放纵自己,因为有当场被抓并让自己的照片被在主日学校上学的孩子看到的风险。而想要与自己心爱的女孩做些亲密动作的年轻人,在进行过程中也必须一直用伞挡住自己。”

  一些人并不喜欢这样的改变。19世纪80年代,美国有一群妇女在火车上砸了一台照相机,因为她们不想让这台照相机的主人拍摄她们的照片。英国也有一群男孩聚集在海滩上巡逻,威胁任何试图拍摄刚游完泳从海里出来的妇女的人。

  塞缪尔·沃伦(Samuel Warren)和路易斯·布兰代斯(Louis Brandeis)(后者之后曾在美国最高法院任职)在19世纪90年代的一篇文章写道:“快速照相和报纸企业已经侵入例如隐私和家庭生活的神圣地带。”他们提议美国法律应当正式认定隐私,部分原因是为了遏制偷窥摄影的潮流,为任何侵扰行为追责。有几个州通过了这样的法律。

  现在的几代人都伴随着快速照相的威胁而成长起来——宝丽来,有没有?但现在我们仍不得不面对无处不在的摄影。不管你去哪里,不管你允不允许,你都会被拍下视频。而且世界上任何地方的任何人都有可能读取这些影像。

  在隐私方面,矛盾一直伴随着我们。一方面,我们非常珍视隐私,将其视为我们的权利,并且认为它与我们的自由和独立息息相关:在财产方面以及关着的门后所做的任何事情不都应该保持隐私吗?另一方面,我们对一些事情有着强烈的好奇。我们现在有办法满足这样的好奇心了,这些方法是之前无法想象的。

  你曾经好奇过街对面围栏里你邻居家的后院是什么样子吗?技术也许能帮助几乎任何人找到这个问题的答案。如今,3D Robotics和CyPhy这样的无人机公司让任何普通人都能轻松拥有自己的无人机,比如我就有一架大疆Phantom 4无人机。无人机是远程控制的飞行器,而且比你过去在RadioShack买的那种飞行器要复杂精细得多。几乎所有无人机都带有小型的视频摄像机。它们能为你提供一种观看世界的新方式。某些无人机也可以通过你的手机来控制。

  个人无人机是增强型的摄影设备。如果你可以悬浮在地面上空数百米的地方,那么几乎没什么能逃出你的眼睛了。

  目前保险行业已经将无人机用于商业目的。想一想,如果你是一位保险理算员,需要了解你打算承保的一处房地产的状况,那你就可以让一架无人机绕着它飞,这样既可以在有权进入之前通过眼睛检查,也可以创造一个永久性记录以备以后查找。你可以让它飞得很高,然后向下看,从而获得之前只能通过直升机得到的那种画面。

  个人无人机现在也是监视我们的邻居的选择之一;我们只需要“飞”到别人楼顶上向下看就行了。也许这位邻居有一个游泳池。也许这位邻居喜欢裸泳。情况已经变得很复杂了:我们对自己的家庭和财产有隐私预期,现在却受到了挑战。比如,谷歌会在谷歌街景和谷歌地球中掩盖人脸和车牌号等个人信息,但使用私人无人机的邻居可不会给你任何保证——尽管你可以尝试友好地要求他不要在你的后院上飞。配置有视频摄录功能的无人机帮你将谷歌地球和谷歌街景结合到了一起。

  现在已经有一些相关法规了。比如,联邦航空管理局规定无人机不能离开操作者的视线,不能在距机场一定距离的范围内飞行,不能超过特定的飞行高度。有一个名叫B4UFLY的应用可以帮你确定哪里可以飞你的无人机。 另外,为了应对无人机的商业应用,几个州已经通过了限制或严格限制使用无人机的法律。在得克萨斯州,普通公民不能使用无人机,尽管也有例外——包括一项针对房地产经纪人的例外。科罗拉多州对无人机的态度可能是最自由的,这里的居民可以合法地射击天上的无人机。

  美国政府至少应该要求无人机爱好者注册他们的玩具。在我居住的洛杉矶,某个人用一架无人机撞击了西好莱坞的电线,就在靠近拉拉比街和日落大道交会处的地方。如果这架无人机注册了,当局也许就能知道是谁给700多人造成了断电数小时的不便,又让数十名电力公司员工不得不在夜里工作以恢复该地区的供电。

  你的隐私无处可逃

  零售商店越来越想了解它们的客户。某种手机IMSI捕获器(IMSI catcher)实际上就是一种真正有效的方法。当你走进一家商店时,该IMSI捕获器就能获取你的手机的信息,并通过某种方式得到你的手机号码。根据这个信息,系统就能查询大量数据库,从而建立起一个你的资料档案。实体零售店还在使用人脸识别技术。你可以将其看作是一种超大型的沃尔玛迎宾员。

  在不久的将来,“你好,凯文”或许就将成为我从店员那里得到的标准问候,即使我之前可能从没去过那家店。你的零售体验个性化也是另一种形式的监控,尽管非常微妙。我们再也不能匿名购物了。

  2015年6月,美国国会通过了《自由法案》,这是《爱国者法案》的一个修订版,增加了一些隐私保护条款。在该法案通过仅仅2周之后,9个消费者隐私团体(其中一些为了支持《自由法案》而进行了大量游说)就对几家大型零售商表达了失望,并退出了关于限制使用人脸识别的协商谈判。

  他们协商谈判的问题是:在消费者可被扫描之前,是否应该默认消费者必定给出了许可。这听起来很合理,但参与这一协商谈判的主要零售组织中没有一家愿意在这一点上让步。据它们称,如果你走进了它们的店里,那么扫描和识别你就是合理的。

  有些人在走进店里时希望得到那样的个人关注,但很多人都只会觉得这让人不安。这些商店对此有不同的看法。它们不想给消费者退出的权利,因为它们想抓住已知的商店窃贼,如果可以选择,消费者就能直接退出了。如果自动人脸识别得到了应用,已知的商店窃贼在进入商店那一刻就会被识别出来。

  消费者怎么看?至少英国有70%的受访者认为,在商店中使用人脸识别技术“太可怕了”。包括伊利诺伊州在内的美国一些州已经自己动手监管生物特征数据的收集和存储了。现在已经出现了基于这些法规的诉讼。比如,芝加哥一名男子起诉了Facebook,因为他没有明确许可该网络服务可使用人脸识别技术识别其他人的照片中的他。

  人脸识别可以仅根据一个人的图像就识别出他的身份。但如果你已经知道这个人是谁,而只想确定其是否在应该在的位置,又该如何呢?这是人脸识别的另一个潜在用途。

  摩西·格林斯潘(Moshe Greenshpan)是人脸识别公司Face-Six的CEO,该公司在以色列和美国拉斯维加斯都有办公室。该公司的软件Churchix有教堂点名等功能。其想法是帮助教堂识别不常来教堂做礼拜的教友,以便鼓励他们更常来;也要识别经常来教堂做礼拜的教友,以便鼓励他们向教堂捐更多钱。

  Face-Six说全世界至少有30家教堂正在使用该公司的技术。所有教堂只需上传教友的高质量照片即可。然后该系统就会在各种服务和公共集会上寻找他们。

  当被问及这些教堂是否会告诉它们的教友他们正在被跟踪时,格林斯潘告诉Fusion:“我认为教堂没有告诉人们。我们鼓励它们这样做,但我认为它们不会这样做。”

  哈佛法学院伯克曼互联网与社会研究中心主任乔纳森·齐特林(Jonathan Zittrain)曾开玩笑说人类需要一个“不要跟踪”标签,就像一些特定的网站所使用的标签那样。这能让想要退出的人不会出现在人脸识别数据库中。为了实现这一目标,日本国立情报学研究所创造了一种商用的“隐私护镜”(privacy visor)。这种售价约240美元的眼镜可以发出仅对摄像机可见的光。这些可被摄像机感知的光在眼睛周围射出,可以阻碍人脸识别系统。据早期测试者说,这种眼镜90%的时间都能成功。唯一的使用警告似乎是不适合在驾驶或骑车时使用。它们或许不够时尚,但它们能帮你在公共场所完美地行使隐私权。

  现在你知道在外面时你的隐私可能会受到侵害,你可能感觉在你的车里、家里甚至办公室里会有更安全的隐私。很不幸,事实并非如此。我将在接下来几章中解释原因。

  

  研究者查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)是入侵汽车的老手了。之前两人就入侵过一辆丰田普锐斯——但他们是坐在汽车后座上,通过与汽车的实体连接完成的。然后到了2015年夏季,米勒和瓦拉塞克又成功接管了一辆吉普自由光的主要控制权,而当时这辆车正在圣路易斯市的高速公路上,以110公里每小时的速度行驶。他们可以在不靠近车辆的任何地方远程控制一辆车。

  这里提到的这辆吉普确实有一位司机——《连线》杂志的记者安迪·格林伯格(Andy Greenberg)。研究者事先告诉过格林伯格:不管发生什么,不要惊慌。事实证明,即使对知道自己的车将被入侵的人来说,这个要求也还是太高了。

  格林伯格写下了这段经历:“我的油门突然就停止工作了。我疯狂地踩踏板,看着转速上升,但这辆吉普还是减去了一半的速度,然后就变成了爬行。事情发生的时候我已经进入了一座高架桥,两边没有路肩可以逃跑。这个实验已经不再有趣了。”

  这两位研究者之后遭受了一些批评,说他们“鲁莽”和“危险”。格林伯格的吉普当时正在公共道路上行驶,而不是在测试道路上,所以密苏里州的执法部门在本书写作时仍然在考虑起诉米勒和瓦拉塞克——也可能还会起诉格林伯格。

  远程入侵联网的汽车已经被谈论了很多年,但米勒和瓦拉塞克的实验才真正让汽车行业对此重视起来。不管这是“炫技的黑客入侵”还是合规的研究,它都让汽车制造商开始认真思考网络安全了——以及思考国会是否应该禁止入侵汽车。

  其他研究者已经表明,他们可以通过拦截并分析汽车的车载计算机和汽车制造商系统的GSM或CDMA流量,来对控制汽车的协议进行反向工程。这些研究者可以通过发送短信息来欺骗汽车控制系统,从而锁定和解锁车门。有人甚至还能使用同样的方法劫持远程启动功能。但米勒和瓦拉塞克首次通过远程的方式完全控制了一辆汽车,而且他们宣称也能使用同样的方法接管位于其他州的汽车。

  也许米勒和瓦拉塞克的实验最重要的结果是,克莱斯勒因为一个编程问题召回了超过140万辆汽车——这是第一次由于此种原因的召回。在过渡期间,克莱斯勒还暂时中断了受影响的汽车与Sprint网络的连接,这是这些汽车原本用于车载通信(汽车收集的并与制造商实时共享的数据)的网络。米勒和瓦拉塞克在DEF CON 23上告诉一位观众,他们早就意识到可以接管位于其他州的汽车,但他们知道这是不道德的。作为替代,他们在米勒的家乡与格林伯格一起进行了他们的控制实验。

  在这一章中,我将讨论我们驾驶的汽车、搭乘的列车和用于支持日常通勤的移动应用在很多方面都很容易遭到网络攻击,更不要说我们的联网汽车在生活中给隐私造成的诸多侵害了。

  上帝视角,被跟踪的行程

  当BuzzFeed的记者约翰娜·布伊扬(Johana Bhuiyan)搭乘优步的车到达这个叫车服务公司的纽约办公室时,该公司的总经理乔希·莫勒尔(Josh Mohrer)已经在等着她了。“你来了,”他拿着他的iPhone说道,“我在监视你。”对他们的采访来说,这是一个不祥的开始,毕竟这次采访涉及的内容就包含消费者隐私。

  布伊扬的故事在2014年11月被公布,在此之前,优步公司之外很少有人知道存在上帝视角(God View);这是优步用于跟踪其成千上万名合约司机及他们的客户的位置的工具,而且全部都是实时的。

  正如我前面提到的那样,应用通常会向用户请求各种权限,包括读取他们的地理位置数据的权限。优步甚至还更进一步:它要求读取你的大概位置(Wi-Fi)和精确位置(GPS)、你的通讯录访问权,而且还不允许你的移动设备休眠(这样它就能不断标记你的位置)。

  据说布伊扬当面就对莫勒尔说了她没有允许该公司在任何时间和任何地点跟踪她。但她确实允许了,尽管可能并没有明确允许。她在将该服务下载到自己的移动设备时,在用户协议中同意了该许可。那次会面之后,莫勒尔通过电子邮件向布伊扬发送了一些她近期优步行程的日志。

  优步会为每位用户编写一个个人档案,其中记录了他的每一个行程。如果这个数据库不安全,可就糟糕了。在安全业务中,优步的这种数据库被称为蜜罐(honeypot),会引来各种各样的窥探,从美国政府到外国黑客。

  2015年,优步对其隐私政策进行了一些修改——在某些情况下对消费者有害。优步现在会收集所有在美国的用户的地理位置数据——即使该应用仅在后台运行,即使卫星和蜂窝通信都关闭了,也照样会收集。优步说自己会使用Wi-Fi和IP地址“离线地”跟踪用户。这意味着它会在你的移动设备上进行无声的间谍活动。但是,该公司并未说明为什么需要这种功能。

  优步也没有完全解释它为什么需要上帝视角。一方面,据该公司的隐私政策称:“优步有严格的政策,禁止所有层级的员工访问乘客或司机的数据。本政策的唯一例外是数量有限的一些合规的业务。”合规的业务可能包括监控涉嫌欺诈的账号和解决司机的问题(比如,丢失连接)。其中可能并没有包含跟踪记者的行程。

  你可能认为优步会让其用户有权删除跟踪信息。事实并非如此。而且如果你在阅读完这些内容后从你的手机上删除了该应用,好吧,猜猜会怎么样?这些数据仍然还保存在优步内部。

  根据修订后的隐私政策,优步还会收集你的通讯录信息。如果你使用iPhone,你可以进入设置修改你的联系人共享偏好。如果你使用的是安卓设备,就没得选了。

  优步的代表声称该公司目前并未收集这种消费者数据。但是,由于现有用户已经同意了优步的隐私政策且新用户也必须同意,所以通过将数据收集纳入隐私政策中,该公司确保了它在任何时候都可以推出这些功能。而用户不会得到任何补偿。

  优步的上帝视角也许足以让你怀念起常规的老式出租车。过去的时候,你会钻进一辆出租车,说出你的目的地,到达之后用现金为这段旅程付费。换句话说,你的行程几乎是完全匿名的。

  随着21世纪初信用卡普遍被接受的情况出现,大量日常交易都已经变得可被追溯了,所以也许某个地方就有你搭乘出租车的记录——也许并不存在于某个特定司机或公司那里,但肯定在你的信用卡公司手中。我曾在20世纪90年代当过私人调查员,那时我就可以通过获取目标的信用卡交易而搞清楚他们的活动情况。只需要看一看结算单,就能知道上周你在纽约市搭乘过一辆出租车并且为该行程支付了54美元。

  出租车在大约2010年前后开始使用GPS数据。现在的出租车公司也会知道你的上车和下车位置、你的车费金额,而且也许还能知道与你的行程相关的信用卡号码。纽约、旧金山和其他支持政府开放数据运动的城市会将这些保密,并向研究人员提供丰富且匿名的数据集。只要里面不包含名字,公开这些匿名的数据又会有什么损害呢?

  2013年,美国西北大学当时的一位研究生安东尼·托卡尔(Anthony Tockar)正在一家名叫Neustar的公司实习,他研究了纽约市出租车和轿车委员会公开发布的匿名元数据。这个数据集包含其出租车车队中每辆车在上一年中的每个行程记录,其中包括出租车编号、乘客上下车的时间和位置、车费和小费金额,以及这些出租车的许可证和牌照号码的匿名(经过哈希化)版本。这个数据集本身并不会很让人感兴趣。不幸的是,解算这个案例中的哈希值是相当容易的。

  但是,当你将这个公开数据集与其他数据集结合起来时,你就会开始全面了解实际发生的情况。在这个案例中,托卡尔可以确定上一年中布莱德利·库珀(Bradley Cooper)和杰西卡·阿尔芭(Jessica Alba)等特定名人在纽约市的什么地方搭乘过出租车。他是如何实现这一飞跃的?

  他已经有地理位置数据了,所以他知道这些出租车是在什么地方和什么时候让它们的乘客上下车的,但他必须更进一步确定在某辆出租车中的人是谁。所以他将纽约市出租车和轿车委员会的元数据与普通小报网站的网络照片结合到了一起。这是一个狗仔队的数据库。

  想一想,狗仔队常常会在名人坐进或走出出租车时拍摄照片。在这些案例中,我们往往可以在图像中看到出租车独有的牌照号码。就印在每辆出租车的侧面上。所以,比如说与布莱德利·库珀一起被拍下的出租车号码可以用于匹配那个公开提供的数据集,从而得到上下车位置以及车费和小费金额。

  幸运的是,并不是我们所有人都有狗仔队跟着。但这并不意味着没有其他用于跟踪我们行程的方式。也许你并不乘坐出租车,那么还有其他可以确定你的位置的方式吗?有。即使你搭乘公共交通工具也一样。

  准确率高达92%,匿名搭乘时代终结

  如果你乘坐公交车、火车或渡船上班,那你就再也没法隐身于芸芸众生之中了。交通运输系统正在实验使用移动应用和近场通信(near field communication,简称NFC)来标记上下公共交通工具的乘客。NFC是一种短距离的无线电信号,往往需要实体接触。Apple Pay、Android Pay和Samsung Pay全都使用NFC,让寻找零钱成了历史。

  假设你有一部启用了NFC的手机,并且也安装了当地运输管理机构的应用。这个应用需要连接到你的银行账号或信用卡,这样你就总是可以搭乘任何公交车、火车或渡船了,而不用担心账号余额变成负数。这种与你的信用卡号码之间的连接如果没有使用令牌或占位符数字掩盖,就可能会向该运输管理机构揭示你的身份。使用令牌替代你的信用卡号码是苹果、安卓和三星提供的一个新选择。这样商家(在这个案例中即为运输管理机构)就只能拿到一个令牌,而无法得到你的真实信用卡号码。在不久的将来,使用令牌将能减少数据泄露对信用卡的影响,因为犯罪分子将会需要两个数据库:令牌以及令牌背后的真实信用卡号码。

  但假设你没使用启用了NFC的手机,而用的是交通卡,比如波士顿的CharlieCard卡、华盛顿特区的SmarTrip卡和旧金山的Clipper卡。这些卡都使用了令牌来提醒接收设备(不管是旋杆门还是检票箱)你的余额是否足够搭乘该公交车、火车或渡船。但是,交通运输系统并没在后端使用令牌。交通卡本身在其磁条上只有一个账号号码——不是你的信用卡信息。如果该运输管理机构的后端遭遇数据泄露,你的信用卡或银行信息就可能会暴露。另外,有的交通运输系统需要你在网上注册它们的卡,这样它们就可以向你发送电子邮件,也就意味着你的电子邮箱地址可能会在未来的黑客攻击中泄露。不论哪种方式,匿名乘坐公交车的时代在很大程度上已经一去不复返了,除非你购买交通卡时用的是现金,而非信用卡。

  对执法机构而言,这样的发展大有裨益。因为这些交通卡公司是第三方私有的,而不归政府所有,所以它们可以设定任何它们想要的数据共享规则,不仅能将其分享给执法部门,还能分享给处理民事案件的律师——如果你的前任想骚扰你。

  所以某个正在查看运输管理机构日志的人可能知道某个人在某个时间经过了某个地铁站,但他可能不知道他的目标上了哪辆列车,尤其当这个车站是几条线的中转站时。要是你的移动设备可以解决这个问题,能让人知道你之后搭乘了哪辆列车并借此推断你的目的地呢?

  中国南京大学的研究者决定回答这个问题,他们的研究重点是我们的手机里被称为加速度计的东西。每个移动设备里面都有一个。这是一种用于确定你的设备的方向的微型芯片——看你是水平还是竖直地拿着你的设备。这些芯片非常敏感,以至于这些研究者决定在他们的计算中仅使用加速度计数据。计算结果足够确定,表明他们可以准确预测用户正在搭乘的地铁列车。这是因为大多数地铁线都有转弯,这些转弯会对加速度计产生影响。另外,站与站之间的行驶时长也很重要——你只需要看看地图就知道原因了。他们的预测的准确度会随乘客经过的车站数量的增加而提升。这些研究者声称,他们的方法具有92%的准确率。

  自动车牌识别,新技术正在侵蚀你的匿名性

  假设你有一辆旧型号的汽车并且自己开车上班。你可能就认为你是隐身的了——只是每天在路上的100万辆车中的一辆。你可能是对的。但新技术正在侵蚀你的匿名性,即使这些技术并不在汽车本身之中。很可能只要某个人花点功夫,就依然能相当快地识别出高速公路上呼啸而过的你。

  在旧金山,市交通局已经开始使用FasTrak收费系统来跟踪使用了FasTrak的汽车在城市里面的活动情况了,该系统能让你轻松通过8座湾区大桥中的任意一座。使用类似收费桥梁用于读取你汽车中的FasTrak(或E-ZPass)设备的技术,该市开始在用户到处寻找停车位置时搜索这些设备。但官员们感兴趣的并不总是你的活动,而是停车位——大多数停车位都配备了电子停车收费器。停车多的车位可能收取更高的费用。该市可以通过无线方式调节特定收费器的价格——包括临近热门活动的收费器。

  此外,在2014年,官员们决定金门大桥不再使用人工收费员了,所以每个人(甚至游客)都需要以电子方式进行支付或以邮件的形式接收账单。管理者如何知道该向哪里寄送你的账单呢?他们会在你通过收费站时拍摄你的车牌。常出问题的交叉路口也会使用这种车牌照相来抓闯红灯的车。而且警方也在越来越多地使用相似的策略巡逻停车场和住宅车道。

  警方每天都会使用自动车牌识别技术即ALPR来被动跟踪车辆的活动,可以拍摄你的汽车车牌并将数据存储起来。根据警方的政策,有时候数据会保存数年时间。ALPR相机会扫描和读取经过它们眼前的每个车牌,不管这辆车是否与犯罪有关联。

  表面上ALPR技术主要用于定位被盗的汽车、寻找通缉犯和协助安珀警报 。这项技术要用到固定在巡逻车顶上的三台相机,这些相机连接到车内的一个计算机屏幕上。该系统还会进一步连接到一个司法部数据库,其中包含了被盗车辆以及与犯罪相关的车辆的车牌记录。在警官的行驶过程中,ALPR技术每秒可扫描多达60张车牌。如果某张扫描到的车牌与司法部数据库中的某个车牌号匹配,那么该警官就会收到一个警报,而且既有图像又有声音。

  《华尔街日报》在2012年首次报道了车牌识别技术。反对或质疑ALPR技术的人关注的问题并不是该系统本身,而是这些数据会被保存多长时间以及为什么有的执法机构不会发布它,甚至不会告诉正被追踪的汽车的主人。这是一种让人不安的工具,警察可以用它来确定你去过的地方。

  负责美国公民自由联盟的语音、隐私和技术项目的本内特·斯泰因(Bennett Stein)指出:“自动车牌读取器是一种精妙的跟踪司机位置的方式,而且随着时间的推移、数据的累积,它们就能得到人们生活的详细图景。”

  加利福尼亚州一名男子曾经发起了一项公共记录请求,他的车牌被拍摄的照片数量(超过100张)让他感到不安。其中大多数照片都是在大桥上或其他非常公共的地方拍摄的。但是有一张照片上可以看到他和他的女儿正从他们家的汽车里出来,当时这辆车停在自家的车道上。请注意,这个人并不是某项犯罪的嫌疑人。美国公民自由联盟获得的档案表明,甚至FBI的总法律顾问办公室也曾质疑过在缺乏明确的政策的情况下使用ALPR的问题。

  不过,要查看一些ALPR数据,并不是必须发起公共记录请求才行。据电子前线基金会称,任何人都可以在网上获取来自超过100台ALPR相机的图像,只要一个浏览器就足够了。电子前线基金会在公开自己的发现之前已经与执法部门合作纠正了这个数据泄露问题。电子前线基金会说不只是这100多个案例有这种错误配置,并敦促全国各地的执法部门撤下或限制发布在互联网上的内容。但在本书写作时,如果你在搜索窗口输入正确的查询,仍然有可能得到许多社区的车牌照片访问权限。一位研究者在一周内就发现了超过64 000张车牌照片和它们对应的位置数据点。

  内置GPS&无线连接,租用汽车的两大安全陷阱

  也许你自己没有车,只是偶尔租一辆。因为你在租车时必须提供所有个人信息和信用卡信息,所以你还是没有隐身。此外,现在大多数租用的汽车都内置了GPS。我知道。我发现这一点的过程很艰辛。

  当你的汽车在维修时,你会从经销商那里得到一辆租用的车,你通常会同意不将其开出州界。经销商希望这辆车保持在它被借用的那个州内行驶。这个规则主要关乎他们的保险,而不是你的。

  我就遇到过这种事。我将我的车带到了拉斯维加斯一家雷克萨斯经销商那里进行维修,他们让我使用一辆租用车。那时已经过了这家经销商结束营业的时间,我读也没读就签了那些文件,主要是因为当时服务助理一直在催促我。之后,为了一个顾问工作,我开着那辆车去了加利福尼亚州北部的湾区。这时候那个服务助理就给我打电话了,他问:“你在哪里?”我说:“加利福尼亚的圣拉蒙。”他说:“是啊,我们看到了。”然后他针对将车带出州界一事对我发出了严厉的警告。显然我快速签下的那个租车协议规定我不能将这辆车带出内华达州。

  现今当你租用或借用汽车时,你可能很想将你的无线设备与车载娱乐系统配对,以便重新创造你在家里的那种音频体验。当然这会产生一些直接的隐私问题,因为这不是你的车。所以当你将汽车归还给租赁商时,你的车载信息娱乐数据又会怎样呢?

  在你将你的设备与不属于你的汽车配对之前,先研究看看它的娱乐系统。也许点击手机设置就能看到之前用户的设备和(或)名字列在蓝牙列表中。想一想你是不是也想加入那个列表。

  也就是说,当你离开这辆车时,你的数据并不会就此消失。你必须自己删除这些数据。

  你可能会想:“将我最喜欢的乐曲分享给其他人能有什么危害呢?”问题是你分享出去的不只有你的音乐。当大多数手机设备连接到车载信息娱乐系统时,它们也会自动将你的联系人链接到该车的系统。厂商假设你可能需要在驾驶时拨打免提电话,所以将你的联系人存储在汽车中会让其简单得多。问题是这不是你的车。

  Covisint公司的首席安全官戴维·米勒(David Miller)说:“当我租车时,最不会去做的就是配对我的手机。它会下载我的所有联系人,因为这就是它想做的事。在大多数租用的汽车里,如果之前有人配对过,那么你进入系统就能看到他们的联系人。”

  当你最后卖掉你的汽车时,情况也是如此。今天的汽车让你在路上时也能访问你的数字世界。想要查看Twitter吗?想要在Facebook上发帖吗?今天的汽车与你的传统个人电脑和手机有一个越来越相似的地方:它们包含了个人数据,你应该在出售这些机器或设备之前删除这些数据。

  在安全领域工作会让你养成三思而后行的习惯,即使那只是普通的交易。米勒说:“这段时间里,我的汽车与我的全部生活一直都连接在一起,然后在第五年我卖掉了它——我该怎样断开它与我的全部生活的连接呢?我不想让买这辆车的人看到我的Facebook好友,所以必须撤销服务。比起提供服务,安全领域的人对撤销服务方面的安全漏洞要感兴趣得多。”

  而且正如你在你的移动设备上做的那样,你也需要用密码保护你的汽车。只是在本书写作时,还没有什么可用的机制能让你用密码锁定你的信息娱乐系统。而且要删除你在汽车中设置了多年的账号也不容易——不同的制造商、产品和型号的方法各有不同。也许这种情况会改变,某人可能会发明一种一键删除你的汽车上整个用户档案的方法。但在那之前,在卖掉汽车之后至少要上网修改一下你的社交媒体密码。

  特斯拉,带轮子的计算机

  特斯拉也许是“带轮子的计算机”的最佳范例了,这是当前最先进的全电动汽车。2015年6月,特斯拉完成了一件有里程碑意义的事:特斯拉汽车的全球总行驶里程超过了16亿公里。

  我就开了一辆特斯拉。那是很棒的车,但由于它们有复杂的仪表盘和持续不断的蜂窝通信,所以也引出了一些在数据收集方面的问题。

  当你拥有一辆特斯拉时,你会收到一份同意书。你可以选择是否让特斯拉公司通过无线通信系统记录关于你的汽车的任何信息。你可以通过仪表盘上的触控屏开启或禁止与特斯拉公司共享你的个人数据。有观点认为用户数据可以帮助特斯拉在未来打造更好的汽车,而且很多人都接受这个看法。

  根据特斯拉的隐私政策,该公司可能会收集车辆识别号码、速度信息、里程表读数、电池使用信息、电池充电历史、关于电气系统功能的信息、软件版本信息、信息娱乐系统数据和安全相关数据(包括车辆的SRS系统、制动器、安全和电子制动系统的相关信息)等信息,以协助分析车辆的性能。特斯拉表示,它们可能会面对面(比如在预约服务期间)或通过远程访问的方式收集这些信息。

  它们打印出的政策中就是这么说的。

  实际上,它们还能随时确定你的汽车的位置和状态。特斯拉一直都没怎么向媒体说过会实时地收集什么数据以及如何使用这些数据。特斯拉就像优步一样,坐在上帝的位置上,知道关于每辆车的一切以及它们在任何时候的位置。

  如果这让你感到不安,你可以联系特斯拉公司并选择退出其远程信息服务项目。但是如果这么做了,你就会错过包含安全修复和新功能的自动软件更新。

  安全领域自然对特斯拉兴趣浓厚,而且独立安全研究者尼塔什·汉贾尼(Nitesh Dhanjani)已经找到了一些问题。尽管他和我一样,都同意特斯拉Model S是一款很棒的汽车和出色的创新产品,但汉贾尼发现特斯拉使用了一种相对弱的单因素认证系统来远程访问该车的系统。特斯拉的网站和应用都没有限制尝试登录用户账号的次数,这意味着攻击者也许可以暴力破解用户的密码,也就意味着第三方也可以(假设你的密码已被破解)登录并使用特斯拉API来查看你的车的位置。攻击者还可以远程登录到特斯拉应用并控制该车的系统——空调、灯光等,尽管该车必须保持不动。

  在本书写作时,汉贾尼的大部分担忧都已经被特斯拉解决,但这个情况只是一个示例,说明为了保护汽车的安全,当今的汽车制造商需要做的事情多了很多。仅仅提供一个用于远程启动和检查汽车状态的应用还不够好,必须得保证安全。最新的更新是一个名叫Summon的功能,让你可以告诉车子自己开出车库或在狭窄的位置停车。Summon未来还能让车子到全国的任何地方去接你,有点像《霹雳游侠》这个老电视节目。

  特斯拉在否认《纽约时报》的一篇负面报道时,承认了它们所拥有的数据的力量。《纽约时报》记者约翰·布罗德(John Broder)说他的特斯拉Model S曾经出过故障,将他困在了路上。特斯拉在一篇博客中反驳说它们确认了一些让人质疑布罗德的故事版本的数据点。比如说,特斯拉指出布罗德的驾驶速度范围为104公里/小时到130公里/小时,车内温度被设置为22摄氏度。 据《福布斯》杂志报道:“Model S中的数据记录器知道汽车内的温度设置、整个行程中的电池电量、汽车每分钟的速度和驶过的确切路径——详细到知道这位汽车测评人在汽车电量几乎快要耗尽时还在停车场里开着转圈。”

  美国在2015年后生产的所有用于销售的汽车中,远程信息服务功能都是车内黑匣子的合乎逻辑的延伸。但车内黑匣子根本不是新东西。它们的出现可以追溯到20世纪70年代首次引入安全气囊的时候。在发生撞车时,那时候的人还会受到来自气囊的威胁生命的伤害,甚至有的人因为气囊撞击他们身体的力量过大而丧命。在一些案例中,如果汽车没有装配这些气囊,里面的乘客可能到今天还活着。为了进行改进,工程师需要撞车发生前后气囊部署的相关数据,这些数据是通过气囊的传感和诊断模块收集的。然而,直到2017年车主们才被告知汽车中的这些传感器会记录有关他们驾驶的数据。

  车内黑匣子类似于飞机黑匣子,是由加速度的突然变化触发的,它们只会记录加速度突然改变事件的最近几秒钟,比如突然加速、转弯和急刹车。

  但是我们很容易想到,这些黑匣子会收集并通过蜂窝连接实时传输更多种类的数据。想象一下,未来按3~5天时间长度收集的数据既可以存储在汽车上,也可以存储在云中。你不必再尽力描述当你的汽车以56公里/小时或更快的速度行驶时发出的嗡嗡噪声,只需要让修理师读取记录的数据即可。真正的问题是,能读取这些数据的还有谁?即使是特斯拉也承认其收集的数据可能会被第三方使用。

  如果这个第三方是你的银行呢?如果该银行与你的汽车制造商有一个协议,那么它就可以跟踪你的驾驶能力并据此评估你未来汽车贷款的资格。你的健康保险公司也可能做同样的事,甚至你的汽车保险公司。美国联邦政府也许有必要对谁拥有来自你的汽车的数据,以及你拥有怎样的保持这些数据私密的权利进行评估。

  目前你对此还基本上无能为力,但未来值得关注。

  如何对抗联网的隐私危机

  即使你没有特斯拉汽车,你的汽车制造商可能也提供了一个应用,让你可以开启车门、发动引擎或者在你的汽车上进行某些诊断。一位研究者表明,现在已经有技术可以入侵这些在汽车、云和应用之间传播的信号并将其用于跟踪目标车辆、毫不费力地解锁车辆、触发鸣笛或警报甚至控制引擎。除了将汽车挂挡开走——那仍然需要该驾驶者的钥匙,某个黑客几乎能做到所有事情。不过,我后来找到了禁用特斯拉的遥控钥匙的方法,可以让特斯拉完全禁用。通过使用315 MHz的小型无线电发射器,你可以让遥控钥匙无法被检测到,从而禁用汽车。

  因在2005年开发了针对Myspace的Samy蠕虫病毒而广为人知的安全研究者萨米·卡姆卡尔在DEF CON 23上演讲时演示了一个他打造的名叫OwnStar的设备,该设备可以伪装成一个已知的汽车网络。比如说,他可以使用该设备打开你的启用了OnSt