如何根據(jù)云服務(wù)中提取的數(shù)據(jù)來(lái)推斷出用戶的位置？

作者：lucywang 2020-09-26 12:07:36
云計(jì)算 地理位置數(shù)據(jù)可以為各種政府機(jī)構(gòu)提供豐富的數(shù)據(jù)，執(zhí)法機(jī)構(gòu)使用位置數(shù)據(jù)來(lái)鎖定嫌疑人位置。

 地理位置數(shù)據(jù)可以為各種政府機(jī)構(gòu)提供需要的信息，執(zhí)法機(jī)構(gòu)使用位置數(shù)據(jù)來(lái)鎖定嫌疑人位置。但是，地理位置數(shù)據(jù)可不限于刑事或民事調(diào)查，比如日常的緊急響應(yīng)服務(wù)也要使用位置數(shù)據(jù)來(lái)服務(wù)需要幫助的人員，出租車和送貨服務(wù)也要使用位置來(lái)改善服務(wù)。還有更多的例子表明位置數(shù)據(jù)是至關(guān)重要的。最近，許多政府已經(jīng)開(kāi)始使用或正在考慮使用地理位置數(shù)據(jù)來(lái)幫助識(shí)別和隔離受感染的民眾。

那位置數(shù)據(jù)從何而來(lái)，如何提取?

地理位置數(shù)據(jù)的來(lái)源

位置數(shù)據(jù)的來(lái)源可以有很多種，可以分為3大部分：

1. 移動(dòng)設(shè)備本身，數(shù)據(jù)存儲(chǔ)在物理設(shè)備上并從物理設(shè)備中提取。

2. 云服務(wù)，位置數(shù)據(jù)被上傳至一個(gè)或多個(gè)云服務(wù)，或與之同步的云服務(wù)，例如Android智能手機(jī)對(duì)應(yīng)的谷歌賬戶。

3. 第三方云服務(wù)，許多移動(dòng)應(yīng)用程序，如健身和訓(xùn)練應(yīng)用程序、一些游戲和在線存儲(chǔ)服務(wù)(如OneDrive、Dropbox)可能會(huì)將地理位置數(shù)據(jù)存儲(chǔ)為位置點(diǎn)或存儲(chǔ)在圖片元數(shù)據(jù)中。

4. 呼叫詳細(xì)記錄(CDR)，無(wú)論用戶使用何種移動(dòng)設(shè)備(智能手機(jī)、功能手機(jī)或LTE智能手表等嵌入式設(shè)備)，數(shù)據(jù)都由移動(dòng)服務(wù)提供商收集、存儲(chǔ)并向相關(guān)部門披露。

從移動(dòng)設(shè)備中提取位置數(shù)據(jù)是很誘人的，尤其是考慮到即使是最新的iPhone型號(hào)和iOS版本也有很多可利用的漏洞和獲取方法。然而，分析Android智能手機(jī)的位置數(shù)據(jù)可能會(huì)適得其反，因?yàn)楣雀柙谠浦写鎯?chǔ)了一個(gè)更長(zhǎng)的、更全面的數(shù)據(jù)版本，這些數(shù)據(jù)與用戶的谷歌帳戶綁定在一起。

有趣的是，位置數(shù)據(jù)并不局限于簡(jiǎn)單的位置點(diǎn)，他們可以從智能手機(jī)和云端的各種資源中被提取出來(lái)。帶有圖片附件的圖片和消息包含EXIF數(shù)據(jù)，EXIF數(shù)據(jù)反過(guò)來(lái)又存儲(chǔ)了圖片被拍攝的位置。

具有位置訪問(wèn)權(quán)限的已安裝應(yīng)用程序（例如，健康應(yīng)用程序和運(yùn)動(dòng)跟蹤器）可能包含位置（進(jìn)而可以與相應(yīng)的云服務(wù)同步）。

健康應(yīng)用（例如谷歌 Fit或Strava）中可能有很多位置點(diǎn)，甚至日歷事件也可能包含位置數(shù)據(jù)！所有這些來(lái)源（以及更多其他來(lái)源）就是我們所講的“聚合位置數(shù)據(jù)”。從2018年推出的Elcomsoft Phone Viewer 3.70開(kāi)始，我們就支持對(duì)聚合位置的提取。

說(shuō)到位置，EPV 3.70可以從多種來(lái)源提取位置數(shù)據(jù)。對(duì)于iOS設(shè)備來(lái)說(shuō)，支持的位置數(shù)據(jù)來(lái)源包括：

1. 重要位置；

2. 高速緩存(3G/LTE/Wi-Fi連接)；

3. 蘋果地圖；

4. 谷歌地圖；

5. 媒體文件中的EXIF，包括用于捕獲圖片設(shè)備的ID；

6. 日歷事件，包括事件的鏈接；

7. UBER應(yīng)用。

這些資源中有許多是物理設(shè)備的文件系統(tǒng)獲取所獨(dú)有的，然而，一些數(shù)據(jù)也可以通過(guò)云服務(wù)獲取。讓我們來(lái)看看我們能從蘋果(iCloud)、谷歌和微軟(Microsoft)這三家云服務(wù)提供商那里獲取什么。

蘋果(iCloud)

與谷歌不同，蘋果不維護(hù)用戶位置的歷史記錄。這意味著，從iCloud獲得價(jià)值多年的位置記錄的希望是沒(méi)有根據(jù)的。但是，仍然有幾個(gè)源可以提供一些位置數(shù)據(jù)。其中就包括：

健康應(yīng)用中的訓(xùn)練數(shù)據(jù)

在蘋果生態(tài)系統(tǒng)中，這是唯一一種包含多個(gè)精確時(shí)間戳位置點(diǎn)的云數(shù)據(jù)類型。數(shù)據(jù)來(lái)自用戶的蘋果手表，一旦Apple Watch檢測(cè)到運(yùn)動(dòng)開(kāi)始，它就會(huì)開(kāi)始記錄心率和位置等運(yùn)動(dòng)數(shù)據(jù)。位置點(diǎn)來(lái)自所有最新款A(yù)pple Watch內(nèi)置的GPS傳感器。

健身數(shù)據(jù)屬于健康類數(shù)據(jù)，而健康類又使用端到端加密。為了使用Elcomsoft Phone Breaker訪問(wèn)端到端的加密數(shù)據(jù)，你需要將用戶的Apple ID和密碼、一次性雙因素身份驗(yàn)證碼以及用戶的屏幕鎖定密碼或系統(tǒng)密碼發(fā)送到注冊(cè)在該Apple ID帳戶上的設(shè)備上。

你可以使用Elcomsoft Phone Viewer分析數(shù)據(jù)。

Find My的數(shù)據(jù)

Find My是Find My iPhone（查找我的iPhone）和Find My Friends（查找朋友）的結(jié)合體，新系統(tǒng)中蘋果為了追求簡(jiǎn)潔，于是把這兩個(gè)應(yīng)用整合到一塊了。POPPUR了解到，F(xiàn)ind My作用于iOS13、iPadOS（蘋果為iPad定制的新系統(tǒng)）以及macOS 10.15，其核心功能依然是尋找遺失的設(shè)備。雖說(shuō)有種舊酒莊新瓶的感覺(jué)，但實(shí)際上Find My的功能變得更強(qiáng)大了。以前的Find My iPhone，不管是iPhone、iPad、iPod還是Mac，設(shè)備必須要處于開(kāi)機(jī)狀態(tài)，才能發(fā)送位置信息，否則將無(wú)法定位設(shè)備，這對(duì)設(shè)備的找回有一定的影響。

Find My可以可靠地確定用戶的蘋果設(shè)備的位置。即使為用戶的Apple帳戶啟用了雙因素身份驗(yàn)證，使用Find My服務(wù)也不需要訪問(wèn)第二個(gè)身份驗(yàn)證因素。

iCloud備份

一些位置數(shù)據(jù)可以從iPhone設(shè)備的iCloud備份中提取出來(lái)。通常從iCloud備份中可用的照片中獲得最大數(shù)量的位置點(diǎn)，但是，如果用戶啟用了iCloud照片，那么這些照片將被同步到iCloud，并被排除在iCloud備份之外。

iCloud照片庫(kù)

如果用戶啟用了iCloud照片庫(kù)，在用戶的任何設(shè)備上拍攝的照片都將與云同步。通過(guò)使用Elcomsoft Phone Breaker下載圖片并從EXIF元數(shù)據(jù)中提取GPS標(biāo)簽或者簡(jiǎn)單地使用Elcomsoft Phone Viewer的>聚合位置，這有助于建立一個(gè)用戶位置記錄的詳細(xì)時(shí)間表。

iCloud的消息

常規(guī)iMessage本身不帶有地理標(biāo)簽，圖片附件可能包含帶有位置標(biāo)簽的EXIF。此外，還有一種特殊的iMessage，稱為“位置”。當(dāng)然，這些消息包含精確的位置地理標(biāo)簽。

蘋果地圖

令人驚訝的是，Apple Maps應(yīng)用程序包含數(shù)量有限的位置數(shù)據(jù)。 Apple盡其所能，通過(guò)端到端加密（iOS 13）保護(hù)Apple Maps數(shù)據(jù)。此保護(hù)級(jí)別類似于其他受保護(hù)類別，例如iCloud鑰匙串，iCloud消息，運(yùn)行狀況和屏幕時(shí)間。盡管我們?nèi)匀豢梢詮脑浦蝎@取數(shù)據(jù)，但該過(guò)程依賴于提取其他端到端加密數(shù)據(jù)的過(guò)程，這意味著你必須使用用戶設(shè)備的密碼。

你可以使用Elcomsoft Phone Viewer查看位置數(shù)據(jù)。

谷歌

谷歌將多年的位置數(shù)據(jù)存儲(chǔ)在用戶的谷歌帳戶中，你可以從以下來(lái)源獲取位置數(shù)據(jù)：

谷歌的位置記錄，路線和位置（稍后會(huì)詳細(xì)介紹），這是地理位置數(shù)據(jù)的主要來(lái)源。

什么是“路線和地點(diǎn)”，它們與“位置記錄”有何關(guān)系？

位置記錄只是谷歌從各種來(lái)源（例如GPS傳感器，移動(dòng)網(wǎng)絡(luò)，Wi-Fi BSSID等）收集的原始地理位置數(shù)據(jù)。實(shí)際上，谷歌位置記錄包含帶有時(shí)間戳的地理位置坐標(biāo)，不提供有關(guān)該地點(diǎn)的街道地址或商家名稱的信息。要找出用戶實(shí)際訪問(wèn)過(guò)的地方，你必須手動(dòng)將這些坐標(biāo)固定到地圖上并分析數(shù)據(jù)。

谷歌對(duì)路線和位置進(jìn)行了分析，谷歌使用基于眾包數(shù)據(jù)的人工智能將地理位置數(shù)據(jù)與地圖上的興趣點(diǎn)(POI)匹配起來(lái)。因此，谷歌可以對(duì)用戶訪問(wèn)過(guò)哪個(gè)興趣點(diǎn)，花費(fèi)了多少時(shí)間以及從事哪種活動(dòng)進(jìn)行了有根據(jù)的猜測(cè)。

因此，路線和地點(diǎn)使專家可以按照Google看到的方式分析用戶的日常活動(dòng)，并提供交通工具，中途停留地和所訪問(wèn)的POI的信息。地點(diǎn)，路線和地點(diǎn)大大提高了位置數(shù)據(jù)的可讀性，這為專家提供了一份簡(jiǎn)明的位置列表，而不是數(shù)字地理位置坐標(biāo)。

使用Elcomsoft Cloud Explorer可以輕松提取，查看和分析Google位置記錄，Google Fit數(shù)據(jù)，路線和地點(diǎn)。

谷歌健身數(shù)據(jù)

與Apple Health不同的是，Google Fit是根據(jù)對(duì)內(nèi)置步數(shù)計(jì)數(shù)器和位置跟蹤的定期輪詢來(lái)評(píng)估身體活動(dòng)數(shù)據(jù)的。然后，位置點(diǎn)將存儲(chǔ)在用戶的Google帳戶中Google健身類別下(獨(dú)立于主位置歷史記錄)。

谷歌相冊(cè)

目前，如果你使用的是Google Photos API，則Google不提供訪問(wèn)地理位置標(biāo)記的功能。因此，對(duì)用戶的Google相冊(cè)進(jìn)行取證分析可能不會(huì)返回位置數(shù)據(jù)。但是，通過(guò)合法請(qǐng)求檢索Google相冊(cè)會(huì)生成帶有完整EXIF元數(shù)據(jù)（包括地理位置標(biāo)簽）的圖片。

微軟

Microsoft將位置數(shù)據(jù)與用戶的Microsoft帳戶進(jìn)行同步，這些數(shù)據(jù)可以在隱私面板中查看(在隱私面板中查看你的數(shù)據(jù))，也可以通過(guò)Elcomsoft Phone Breaker獲取(從微軟賬戶獲取通話記錄、瀏覽歷史和位置數(shù)據(jù))?？梢允褂谩跋螺d數(shù)據(jù)”鏈接下載數(shù)據(jù)，該鏈接以JSON格式返回位置點(diǎn)。 Microsoft收集了各種數(shù)據(jù)，包括Cortana，Microsoft Edge（臺(tái)式機(jī)和移動(dòng)應(yīng)用程序），Bing搜索（如果已登錄用戶的Microsoft帳戶）。

OneDrive

另一個(gè)很少被提及的位置數(shù)據(jù)來(lái)源是OneDrive，office365訂閱用戶通過(guò)訂閱可以獲得1TB的云存儲(chǔ)。蘋果用戶只能免費(fèi)獲得5GB的iCloud存儲(chǔ)空間，這限制了他們可以存儲(chǔ)在云里的照片和視頻的數(shù)量，而無(wú)需支付訂閱費(fèi)。因此，聰明的iPhone用戶使用相應(yīng)的iOS應(yīng)用程序?qū)⑺麄兊恼掌鎯?chǔ)在OneDrive中。

Google在Google相冊(cè)中免費(fèi)提供無(wú)限制的照片存儲(chǔ)空間，但是，免費(fèi)套餐極大地降低了圖片的大小和質(zhì)量，使該服務(wù)比那些關(guān)心其照片質(zhì)量的人們所期望的要差。此外，谷歌照片顯然從EXIF標(biāo)簽中刪除了位置數(shù)據(jù)。出于這個(gè)原因，許多Android用戶也將他們的照片保存到OneDrive，而不是Google Photos中。

通過(guò)分析存儲(chǔ)在用戶OneDrive中的圖片的EXIF數(shù)據(jù)，專家們可以檢索許多附加時(shí)間戳的位置點(diǎn)。

不要過(guò)于相信位置數(shù)據(jù)

位置數(shù)據(jù)可能是假的，因?yàn)樵诜治鰯?shù)字?jǐn)?shù)據(jù)時(shí)，盲目相信工具是一個(gè)人可能犯的最大錯(cuò)誤。說(shuō)到位置數(shù)據(jù)，最常見(jiàn)的錯(cuò)誤之一就是依賴從設(shè)備或用戶的云賬戶中發(fā)現(xiàn)的所有圖片中提取的EXIF數(shù)據(jù)。許多此類圖片可能來(lái)自屬于不同用戶的不同設(shè)備，以附件的形式接收或從互聯(lián)網(wǎng)上保存。位置緩存是位置數(shù)據(jù)的另一個(gè)來(lái)源，它列出了最近的基站的大致坐標(biāo)，該基站可能離用戶的設(shè)備相當(dāng)遠(yuǎn)。Wi-Fi接入點(diǎn)的地理位置是基于接入點(diǎn)的BSSID標(biāo)識(shí)符從第三方服務(wù)中獲得的，這些數(shù)據(jù)一般就不準(zhǔn)確。最后，重要的位置才是可到的，但是是使用閉源算法得出的。重要位置是用戶實(shí)際位置的更可靠指標(biāo)之一，盡管沒(méi)有時(shí)間戳記。例如，下面是顯示我的位置歷史記錄的Microsoft帳戶的屏幕截圖。

這兩個(gè)位置都是假的，第一個(gè)位置點(diǎn)應(yīng)該表示我的臺(tái)式計(jì)算機(jī)的位置，它離我大約5公里遠(yuǎn)。第二個(gè)位置點(diǎn)甚至更有趣，因?yàn)樗砹艘粋€(gè)我已經(jīng)有將近半年沒(méi)有使用過(guò)的設(shè)備，盡管我當(dāng)時(shí)已經(jīng)禁用了“查找我的手機(jī)”并擦除了手機(jī)，但它仍然奇跡般地向我的賬戶報(bào)告了它的位置。

本文翻譯自：https://blog.elcomsoft.com/2020/04/cloudy-times-extracting-and-analyzing-location-evidence-from-cloud-services/如若轉(zhuǎn)載，請(qǐng)注明原文地址：

網(wǎng)站標(biāo)題：如何根據(jù)云服務(wù)中提取的數(shù)據(jù)來(lái)推斷出用戶的位置？
分享URL：http://www.dlmjj.cn/article/djhojpo.html