研究團隊分析了超過100臺裝置的加速度計數據,確定每一顆加速度計內記錄的數據確實都有一些微小的差異,可做為傳感器本身的識別憑據,并非反映制造上的缺陷、材料的不同或是來自特定工廠生產線環(huán)境的信息。研究團隊成員、伊利諾大學研究生SanoritaDey表示,利用那些微小差異來識別特定加速度計的精確度可以達到96%。
Dey指出:“我們不需要知道那顆加速度計所在之手機的其他信息,例如電話號碼或是SIM卡號碼,只要判讀加速度計的數據就能辨別出它是來自哪一支手機,就像是另一個識別標志。”而雖然該團隊是以加速度計做為研究對象,但其結果顯示包括陀螺儀、磁力計、麥克風、攝影機等其他零件,也可能包含足以識別每一臺裝置的信息。
這意味著就算消費者不想分享自己的位置信息、姓名或是其他個資,其隱私數據還是有可能透過某個能收集傳感器數據的應用程序泄漏出去。甚至是一個簡單計步器應用程序(會收集裝置端的加速度計信息,然后傳送至云端計算出用戶慢跑距離、熱量消耗情況),不只能讓有心人士識別出數據來自哪個裝置,還可通過傳輸網絡基地臺位置推算出用戶所在區(qū)域。
上述研究團隊的發(fā)現,證實了先前美國弗吉尼亞理工大學(VirginiaTech)團隊所做的類似研究;后者發(fā)現,加速度計或其他MEMS傳感器對電荷的獨特反應,具備可識別其所在裝置的足夠特性。該篇弗吉尼亞理工大學的論文指出,這種傳感器資料“指紋”,在物聯網(IoT)上裝置之認證授權方面能派上用場。
美國史丹佛大學(StanfordUniversity)博士候選人HristoBojinov也發(fā)現,不同麥克風與喇叭所發(fā)送出的信號,具有與加速度計信息相同的可識別性,而且來自這些零件的獨特信息能通過手機應用程序收集、上傳至云端進行識別。不過伊利諾大學的Dey表示,目前并沒有相關法規(guī)限制應用程序供貨商收集、只用這些數據。
Google雖然在Android4.4.2的試用版建立了一套控制機制,允許用戶能自己決定那些應用程序能讀取手機傳感器、聯絡人等信息;但業(yè)界消息卻指該控制機制只是個“偶然”,而且在數字隱私權大師PeterEckersley寫了一篇文章介紹該機制、告訴消費者該怎么使用并贊揚Google的貢獻之后,馬上就移除了。
伊利諾大學的Choudhury表示,就算廣泛分析數據顯示,不同傳感器的“指紋”也并不是百分之百獨一無二,該“指紋”還是具備足夠的獨特性,能通過分析一個以上傳感器數據來識別出它是來自哪一臺裝置。