不用駭進軍方系統也能追蹤美軍行動,手機裡的「廣告數據」如何成為國安破口?

美國中央司令部(USCENTCOM)近期首度向國會揭露一道國安破口:他們坦承已收到多起通報,證實美軍在現役戰區的行蹤,正被敵方透過隨手可得的「商業定位資料」追蹤掌握,這也是美方首次承認這類商業數據已對戰場造成實質威脅。

令人毛骨悚然的是,引發這場國安危機根本不需要駭客發動攻擊,因為真正的漏洞,就在每個人的手機 App 與廣告推播裡。這條由數位廣告和數據仲介商交織而成的「全球監控經濟(global surveillance economy)」產業鏈,原本是為了精準行銷,現在卻成為敵方隨手可得的情報網。

從精準行銷到精準打擊,廣告工具如何變成敵方情報來源?

這一切究竟是如何發生的?在數位廣告領域,定位資料被廣泛用於精準行銷,通常由 App 或服務供應商從手機中蒐集,隨後賣給資料經紀商進行彙整與轉售,或在複雜的中介網路中持續流通。

《Business Insider》點出,正是這種讓廣告商追蹤一般民眾日常行蹤的機制,如今正將美軍推向致命風險。美國議員在致五角大廈的信中嚴正警告,這些商業定位資料能輕易拼湊出美軍的聚集地與日常移動模式,「這可能被敵方利用來鎖定飛彈、無人機和路邊炸彈等攻擊目標,以及用於反情報目的」。面對此風險,參議員 Ron Wyden 甚至發布聲明呼籲,現在是時候「開始將廣告科技產業視為國家安全威脅」。

美國海軍陸戰隊司令 Eric Smith 上將也曾多次警告,在戰場上使用手機可能致命,並以烏克蘭戰爭為例,指出俄羅斯軍隊就屢次因為手機使用、社群媒體發文與開源定位資訊而遭鎖定打擊。 

風險早已浮現,五角大廈卻長達十年未採取足夠作為

然而,這項威脅並非近期才突然出現,五角大廈其實早已知情。《WIRED》報導,早在 2016 年,政府技術人員就曾在加州布拉格堡(Fort Bragg)向美軍高層展示,如何僅憑「買來的」商業定位資料,就能精準追蹤特種部隊手機,一路從美國本土基地追蹤至敘利亞北部的秘密前線。這批資料能被美軍買到,代表外國情報機構同樣能輕易取得。

事實上,這類外洩事件層出不窮。《WIRED》在 2024 年與德國媒體合作的調查中,單憑從資料經紀商取得的免費樣本,就成功追蹤駐德美軍及情報人員的日常移動,這也讓人聯想到過去健身應用程式 Strava 曾意外暴露美軍基地跑步路線,以及法國總統馬克宏保鑣行蹤的資安災難。 

更令人擔憂的是,取得這些資料的門檻與成本極低。2023 年,杜克大學的研究人員曾模擬外國敵方行動,在數百個資料經紀商網站上找到數千筆販售軍人資料的清單。研究人員甚至以每筆 12 美分的價格,在幾乎沒有任何身分審查的情況下,買到現役軍人的姓名、住址、健康狀況與財務細節。因此《The Register》引述議員信件,強烈抨擊五角大廈很可能在十年前就已知曉此威脅,卻未採取足夠的防禦措施來保護軍人免於資料外洩風險。

難以全面防堵的原因:無法完全關掉的定位與 BYOD 政策

為了解決這個存在已久的漏洞,美國議員要求五角大廈採取更積極的具體措施,包含停用軍方裝置上的廣告 ID、在戰區自動關閉手機的定位分享功能,並讓人員改用更重視隱私的瀏覽器而非 Google Chrome。

然而,在執行面上,軍方卻面臨難以全面防堵的困境。首先,即使有規範,裝置的定位與廣告追蹤依然難以徹底關閉。《The Register》指出,雖然美國中央司令部已發布指引,要求人員在不需要的時候停用定位功能並定期檢查隱私設定,但軍方坦承,商業產品的設計使得這些功能往往無法被完全關閉。

此外,五角大廈雖透過行動裝置管理伺服器(MDM)停用個人化廣告設定,但國防部承認,這並不等於停止廣告 ID 的傳輸,相關設定仍可能存在,且使用者依然可以自行修改或重新開啟。儘管國防部表示正轉移至新的 MDM 解決方案,目標在五月初全面停用政府發放裝置的定位服務,但目前成效是否達成仍屬未知。 

其次是個人裝置帶來的管理盲區。《Business Insider》提到,美軍人員在中東戰區仍被允許持有及使用個人手機,且美國陸軍目前正推行「自攜設備」(BYOD,Bring Your Own Device)作為主要連線方式,這項政策也讓軍方更難掌握及控管個人裝置上的 App、定位權限與廣告追蹤風險,使得原先保護部隊安全的指引顯得捉襟見肘。

這起事件凸顯,當廣告科技能輕易讓敵方用來追蹤前線軍人時,我們必須重新審視手機定位資料的本質,因為這已經不只是單純的數位行銷資產或消費者隱私風險,而是亟需防範的國家安全威脅。

*本文開放合作夥伴轉載,資料來源:《Reuters》《WIRED》《The Register》《Business Insider》,圖片來源:Unsplash