苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中,马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP,甚至不需要苹果设备或任何类型的权限。
苹果如何暴露全球 AP
您是否曾经想过,您的手机如何知道它在世界上的位置?
当然,全球定位系统 (GPS) 是它使用的工具之一,但它并不完美。当设备与天空失去清晰的联系时,它的效率就会降低,而且它会消耗大量电量,这对于如此持久的任务来说并不理想。
这就是 Wi-Fi 定位系统的用武之地。如果用 Wi-Fi 接入点 (AP) 替代卫星,WPS 的工作原理有点像 GPS。
首先,运行 Apple 或 Google 操作系统的设备会定期报告其位置(通过 GPS 或手机信号塔三角测量)以及来自附近网络的相对信号强度(用其基本服务集标识符或 BSSID 标记),从而提供一些距离指示。通过这种众包,这些公司开发了有关全球 AP 位置的庞大数据库。
正如 Rye 所解释的那样,“您可能不拥有任何 Apple 设备,但尽管如此,您的 Wi-Fi 接入点仍将进入此系统,这仅仅是因为拥有 Apple 设备的人会路过您的家、给您送包裹或住在您隔壁。”
然后,单个设备可以通过扫描附近的 Wi-Fi 网络并向公司服务器报告来确定其位置。在 Apple 的案例中,WPS 服务器将返回这些 Wi-Fi 网络的位置,设备可以将其与观察到的信号强度进行比较以确定其相对位置。那么,问题是什么呢?
Apple 的 WPS API 是开放且免费的。它是为 Apple 设备设计的,但任何人都可以从非 Apple 设备查询它,而无需任何类型的身份验证或 API 密钥。使用用 Go 编写并在 Linux 上运行的程序,Rye 暴力猜测了大量 BSSID 号码,直到他最终找到一个真正的 BSSID,为此,WPS API 端点向他赠送了一组靠近它的其他 BSSID。
“一旦开始获得命中,你就可以进行所谓的‘滚雪球抽样’,然后将其反馈回去,并不断反复抽样。”他解释道。“在不到一周的时间内,我们能够积累大约 5 亿个唯一的 BSSID。”
苹果 WPS 的一个特殊功能让这一过程变得更加高效。在响应位置查询时,它会主动返回最多 400 个结果,而不仅仅是几个附近的网络。
有什么风险?
“我们基本上可以创建一张地球的 Wi-Fi 地图,其中包括一些最偏远的地方:南极洲、大西洋中部的小岛等等。”Rye 说。
他的研究成果包括:一张为饱受战争蹂躏的乌克兰提供互联网接入的 Starlink AP 地图,以及一幅加沙地带互联网接入不断变化的图景,这些都可能是有价值的军事情报。
更有针对性的隐私攻击可能涉及在个人搬家或使用移动 AP(例如,在房车中)旅行时跟踪他们。
“这很有趣——每个人都有自己想要了解的案例研究。”赖伊说。“有人问过我们关于火人节的问题,这个问题很容易回答,因为火人节位于偏僻的地方。所以如果你的接入点出现在那里,我们就知道你来参加火人节了。”
什么可以做(什么不可以做)
细心的读者可能会问:如果苹果和谷歌都有 WPS,为什么我们只挑选一个呢?
这两个系统都使用庞大的全球 BSSID 数据库来三角测量设备位置。但是,当 Android 设备查询 Google 的 WPS API 时,Google 的服务器会进行三角测量并回复结果,而不是回复一长串 BSSID。因此,所有额外数据都不会被暴露。
Google 还需要一个 API 密钥,它用它来对查询收取费用(最多每两次请求收取一分钱)。对于普通用户来说,这笔小费用微不足道,但对于需要猜测大量 BSSID 才能找到真实 BSSID 的攻击者来说,这笔费用是高得离谱的,就像 Rye 在测试中所做的那样。
这只是苹果、接入点制造商甚至立法者可以改善接入点安全性的众多方法中的两种。与此同时,个人也可以采取一些预防措施。
“如果你是一个技术娴熟的用户——运行OpenWrt 或类似程序——你可以手动随机化你的 BSSID。但这超出了大多数人的能力范围。”Rye 说。
特别处于危险中的个人可以完全避免使用旅行 AP,并在每次搬家时采用新的 AP。Rye 补充道:“Apple 已实施了选择退出功能。如果您在网络名称末尾添加‘_nomap’,Apple 表示这将阻止您的 Wi-Fi 接入点进入他们的系统。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/teziza2UEcX8a0U9G-7_KQ
封面来源于网络,如有侵权请联系删除
