谨慎处理地理位置数据
细节
Android和iOS可以使用GPS来准确地确定位置。如果攻击者知道当前或过去的位置,这个GPS数据的操作不当属于隐私问题,并且可能会使用户容易受到其他攻击。有关本地蓝牙或NFC / RFID标签的信息也可能泄漏地理定位信息。
此外,访问图片的应用程序也可以假定用户会拍摄照片,通过按时间戳来抓取存储在图片中的GPS位置(如果存在的话),这也是用户的隐私问题。
修复
考虑如何使用与避免存储GPS数据。为了更好地保护隐私,如果可能的话使用粗糙的定位服务。除非需要,否则不要记录或存储GPS信息。虽然在某些应用中使用GPS可能是有用的,但很少需要记录和存储数据。避免这样做可以防止许多隐私和安全问题的发生。GPS定位信息经常在iOS上的位置缓存和Android中的各种缓存中缓存一段时间。有些应用程序会自动使用GPS。其中一个例子就是对图像进行地理标记的相机。如果这个问题对你非常敏感,请确保从图像中剥离EXIF数据。
在军事位置工作时,请记住,GPS数据可能会报告给Apple和Google服务器以提高准确性。Android和iOS设备都能够捕获有关范围内附近接入点的信息,无论设备是否连接到它们。不要在军事位置或附近让应用程序激活GPS,其坐标或无线网络拓扑不应报告给供应商。更严重的是,攻击者可以伪造接入点硬件地址来模拟安全无线环境,并从Apple或Google返回周围环境的GPS坐标。