社交软件位置信息安全防护及策略

近年来，随着移动互联网及通信技术的迅速发展，基于位置的社交网络以前所未有的速度蓬勃发展。据统计，目前国内的社交网络服务（Social Networking Services，SNS）网站已有千余家，这其中包含大量的基于位置信息的社交软件，为人们提供位置共享服务。用户在享受位置服务带来便利的同时，也面临着位置信息被泄露的风险。虽然目前各类社交软件服务商已积极采取多种防御策略，但不法分子仍可通过特殊手段对用户位置信息进行采集，进而分析用户的家庭地址、工作地点，还可大致推断出日常活动区域及作息时间等。

基于位置服务社交软件的自动定位功能

大多数基于位置服务的社交软件拥有自动定位及“查看附近的人（Nearby）”的功能，当用户使用“查看附近用户”功能时，客户端首先使用移动设备的定位功能获取用户的精确地理位置，然后将用户所在地理位置的GPS信息、搜索内容和查找范围提交给LBS服务器；与此同时，服务器保存该用户信息，搜索曾经使用同样功能的用户及对应时间、地点数据库，并将最终符合要求的结果推送给移动客户端。至此，用户可以查看附近用户的详细信息，并建立自己的社交网络。

LBS通用系统架构图

现有的位置隐私安全防护方法

社交软件发展初期，国内外并没有统一的安全保护机制，甚至目前一些小众、新兴的社交软件在研发阶段，因开发人员缺乏安全意识，将用户位置数据明文暴露在网络传输中，这种做法显然易于遭受三角定位攻击。后来，随着对产品的版本不断更新，开始采用不同的安全策略对用户隐私加以保护。如通过带加密参数的明文、SSL单向认证、SSL双向认证等。此外，一些主流的社交网络服务商会对位置信息进行模糊处理，如微信、陌陌等采用带宽距离的方式，将用户位置限制在一定的环状区域中，而非确切位置信息。该位置模糊处理技术，旨在用户得以利用位置服务的同时，保护位置隐私，使攻击者无法通过链路劫持或网络爬虫直接采集到高价值、可直接利用的用户信息。

上文提到的通过环状区域报告用户位置的方法，即采用同心环的方式，假设用户A使用基于位置社交服务查看附近用户，则服务商会给出类似“B用户在100米以内；C用户在900米以内”的信息。这种做法让用户知道B用户在半径为100米到200米的同心环中，C用户在900米到1000米的同心环中，隐去了详细的位置信息。通过这种同心环的报告方式，攻击者则无法通过简单的三角攻击准确定位目标用户。

常见的位置信息采集方法

用户的隐私信息可能在3个环节遭到泄露：一是终端位置，移动设备本身若遭到攻击者捕获或劫持，便会主动泄露用户隐私信息，包括但不限于位置信息；二是链路通信环节，社交软件位置查询和返回结果通过网络传输时，会遭到窃听或中间人攻击；三是服务端，攻击者通过特殊手段控制或伪造查询请求发起对服务器攻击时，会对用户的位置隐私造成威胁。

行业安全研究对社交软件位置信息采集的方法大致分为两种。一种是基于应用程序编程接口的数据抓取，该方法可通过丰富和完善的API服务，简洁高效地获取相应的数据，如新浪微博、Twitter、SayHi、Skout等，大多通过调用API接口返回的结构化数据（如JASON）获取用户位置信息。JSON是一种轻量级的数据交换格式，可直观、准确地理解信息中的内容。另一种是基于网页或模拟器爬虫获取，该方法广泛应用于互联网和移动互联网领域，通过相应的网络爬虫技术，自定义采集规则进行页面数据采集。如微信，数据以SSL双向认证的方式加密传输，无法通过协议破解对数据解密还原，行业内常见的采集方法大多通过Android模拟器爬取界面可视数据，再通过不断迭代轮换来精确定位LBS用户，基于此，即可绕过数据加密难题，该方法具有较好的通适性，可以解决大部分手机应用信息获取的问题。

对于环状带宽保护用户位置隐私的方法，已有研究人员通过数论的迭代算法实现对微信用户的高效定位。

构建位置隐私安全防护策略

针对已有的保护位置隐私方法及所存在的问题，现提出构建位置隐私安全防护策略，用以抵制攻击行为，具体如下。

1.对用户自身而言，需不断加强隐私安全意识，谨慎管理社交软件位置及其他权限的使用。

2.社交软件服务商应允许用户自由选择是否启用真实位置服务主动防御软件，增加安全可靠性的同时，也帮助用户更准确地寻找其他用户。

3.社交软件服务商应设立位置信息保护机制，如将用户位置做线性或非线性偏移，引入“不确定噪点”并放大“噪点”变量。具体来说，允许用户选择一个半径R作为自己的地理位置的偏移，程序会在以用户真实位置为圆心、R为半径的圆内随机取一个点作为用户的地理位置。这样其他用户就无法获取到用户真实位置，进而保护了用户的位置信息隐私。如果社交软件对位置的经度要求没有太高，也可以让这个R的值为任意距离，如2千米以内由用户自由选择。

4.社交软件服务商应制定反爬虫策略，如限制单个IP的访问请求次数；建立行为模型，识别规律性较高的爬虫行为；对涉及用户隐私较高或操作频繁的请求设置访问验证码；提高对虚拟GPS的检测技术，判断该请求用户的行为模式是否现实，从而决定是否对该位置的请求予以应答。

未来，社交网络服务的形式必将更加多样化，为用户所提供的服务内容也会更加丰富，而与位置信息结合的方式也会变得更加复杂。对于位置隐私保护策略的构建，需要与时俱进、开拓创新。

END

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!