近日苹果被学术界冷不防丢出了一个核弹级漏洞,研究结果认为:苹果的Wi-Fi定位系统(WPS)可能会被滥用,造成全球隐私被监控的噩梦,而且非苹果设备的用户也不能避免。
在一篇题为《使用基于Wi-Fi的定位系统监测人群》的论文中,美国马里兰大学(UMD)的博士生Erik Rye和UMD的副教授Dave Levin描述了苹果WPS的设计如何促进大规模监控,即使是那些不使用苹果设备的人。
苹果安卓设备统统中招:wifi定位系统
该论文的作者在论文中解释道:“这项工作确定了Wi-Fi接入点(APs)的所有者,尤其是弱势和敏感群体中的所有者,可能会遭受到的危害。这些所有者可能通过使用WPS(Wi-Fi保护设置)而被追踪。这种威胁甚至适用于那些没有适配WPS技术的设备用户——例如,没有苹果产品的个人,只要苹果设备在Wi-Fi传输范围内,他们的AP就可能出现在苹果的WPS中。”
苹果和谷歌、Skyhook等公司是运营WPS的几家公司之一。他们为客户端设备提供了一种比使用全球定位系统(GPS)更节能的定位方式。对于手机来说,WPS的功耗也比GPS小。
使用GPS获取位置的移动设备通常会向WPS服务报告,以及Wi-Fi接入点的MAC地址——基本服务集标识符(BSSID)。此后,不使用GPS的其他移动设备可以通过查询WPS服务来获得位置数据。
设备查询涉及向WPS发送附近BSSID及其信号强度的列表。正如论文所描述的,WPS通常以两种方式中的一种进行响应。
它要么计算客户端位置并返回这些坐标,要么返回提交的BSSID(与AP硬件相关)的地理位置并让客户端执行计算以确定其位置。
谷歌的WPS做前者,而苹果的WPS做后者。但研究人员表示,苹果的系统异常健谈。
“除了客户提交的BSSID的地理位置之外,苹果的API还机会主义地返回了所请求的BSSID附近多达数百个BSSID的地质位置,”该论文指出。
苹果开放的WPS研究方法
被证明可以用于跟踪全球用户隐私
该论文的合著者Erik Rye向the Register解释说,谷歌和苹果的WPS系统以根本不同的方式工作,由于其开放性,只有苹果的WPS提供了进行这项研究的方法。
Rye说:“在苹果的版本中,你可以向地理定位提交BSSID,它会返回它认为BSSID所在的地理位置。”
“它还返回了更多(多达400个)你没有要求的附近的BSSID。这额外的400个对我们的研究非常重要,因为它们使我们能够在短时间内积累大量地理定位的BSSID,此外,苹果的WPS不受身份验证或速率限制,可以免费使用。”
他说,谷歌的WPS只返回一个计算的位置,而且它还经过身份验证、有费率限制和付费,这使得它无法进行此类研究。
苹果系统的设计使Rye和Levin能够汇编一个包含全球4.9亿个BSSID的数据库,然后他们可以使用该数据库来跟踪个人和人群随时间的移动。
该论文解释道:“因为苹果WPS的精度在米的数量级,所以在许多情况下,这使我们能够识别AP所在的个人家庭或企业。”
“出于对用户隐私的尊重,我们在这项工作中研究的案例研究中没有包括可以公开识别个人身份的例子。”
尽管如此,研究人员表示,“非常有可能”使用论文中描述的技术来确定他们所属的个人或团体的身份,“包括个人姓名、军事单位和基地,或房车停车位。”
技术太可怕
可以通过星链终端跟踪军事行动
本文继续探讨了这种位置数据可用于的各种场景,包括攻击后的损失评估(通过消失的BSSID)、使用GL.iNet旅行路由器的BSSID进行个人跟踪,以及通过星链终端BSSID跟踪乌克兰的军事行动。
研究人员表示,他们向苹果、星链和GL.iNet报告了他们的发现,并指出,将BSSID排除在WPS数据库之外的一种方法是在AP的Wi-Fi网络名称或SSID后附加字符串_nomap——SSID由用户设置,而BSSID是硬件标识符。
苹果公司在3月27日的隐私和定位服务帮助页面更新中增加了对_nomap的支持。谷歌的WPS和众包地理定位项目WiGLE至少自2016年以来就支持_nomap。我们被告知,这家iPhone巨头正在采取进一步的缓解措施,以阻止上述追踪。
SpaceX回应迅速
“ 苹果公司正在认真对待我们的报告”
Rye说:“苹果公司正在认真对待我们的报告。”
“我们了解到,他们在队列中有一个或多个额外的补救措施,我们希望这些补救措施将有助于保护接入点所有者的隐私,这些所有者永远不会知道在SSID中附加“_nomap”,以防止他们被包括在苹果的地理位置数据库中。”
Rye还称赞SpaceX的产品安全团队迅速解决了这一问题,并在其产品中实施了BSSID随机化。
他说:“在我们2023年的研究中,他们已经开始让他们的一些产品实现BSSID随机化,但在我们与他们交谈后,他们加快了在所有星链设备上的实施。”
“值得注意的是,这个漏洞不是由SpaceX造成的(他们无法控制苹果或谷歌的行为),但他们还是及时以正确的方式处理了它。”
解决方法:BSSID随机化,但有顾虑
“我们的立场是,BSSID随机化是防止被WPS跟踪的最有力的防御措施,因为每次设备引导(或移动位置)时生成随机标识符会使其在WPS中看起来完全不同。”
作者还提醒了旅行路由器制造商GL iNet,发现它不太容易接受。Rye说:“他们承认了对BSSID随机化的担忧和我们提出的解决方案,但告诉我们他们没有部署这种防御的计划。”
Rye说,虽然他不确定将BSSID随机化(建议的缓解措施)能否作为Wi-Fi标准的一部分的工作,但他希望这项研究将鼓励IEEE的技术专家研究这个问题,就像他们过去对MAC地址随机化所做的那样(制造商包含不同的唯一标识符时,客户端MAC地址随机化)。
他说:“当然,现在客户端MAC地址随机化已经有近10年的历史了,我已经研究过了。这段历史可以提供一些关于该做什么和不该做什么的教训。”
Rye解释道:“具体而言,当设备制造商在传输中包含MAC地址以外的不同唯一标识符时,或者当随机化问题导致多个‘随机’MAC地址可链接时,客户端MAC地址随机化会受到影响。”
“已经实施BSSID随机化的Wi-Fi接入点制造商应该小心,也需要考虑这一点,不要重蹈覆辙。”
Rye计划于8月在Black Hat USA发表这篇论文。
截至目前,苹果没有回应置评请求。
论文链接:
https://www.cs.umd.edu/~dml/papers/wifi-surveillance-sp24.pdf
4376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
