近日，美國馬里蘭大學(xué)的安全研究人員發(fā)表論文披露蘋果設(shè)備的Wi-Fi定位系統(tǒng)(WPS)存在安全設(shè)計(jì)缺陷，可用于大規(guī)模監(jiān)控全球用戶(不使用蘋果設(shè)備的人也會被監(jiān)控)，從而導(dǎo)致全球性隱私危機(jī)。

研究者還在俄烏戰(zhàn)場和以色列哈馬斯加沙沖突地帶實(shí)際驗(yàn)證了該漏洞的有效性和危險(xiǎn)性。

比GPS更可怕的WPS定位：可監(jiān)控全球數(shù)億臺設(shè)備

隨著人們對位置服務(wù)的需求日益增加，移動設(shè)備也更依賴于頻繁且精準(zhǔn)的地理位置信息。這些服務(wù)包括地圖導(dǎo)航、廣告推送、游戲定位以及丟失或被盜設(shè)備追蹤(例如蘋果的“查找我的設(shè)備”功能)。然而，由于耗電量過高，GPS并不能滿足如此頻繁的定位需求。

為解決這一難題，蘋果和谷歌等科技巨頭推出了基于Wi-Fi的定位系統(tǒng)(WPS)。該系統(tǒng)允許移動設(shè)備通過查詢服務(wù)器上的Wi-Fi接入點(diǎn)信息來獲取自身位置。簡單來說，使用過GPS定位的移動設(shè)備會定期向WPS上報(bào)所觀察到的Wi-Fi接入點(diǎn)的MAC地址(即BSSID)及其對應(yīng)的GPS坐標(biāo)。WPS服務(wù)器會存儲這些上報(bào)的BSSID位置信息。

之后，其他不使用GPS的移動設(shè)備也可以通過查詢WPS服務(wù)獲取位置信息。設(shè)備查詢涉及發(fā)送附近BSSID及其信號強(qiáng)度的列表到WPS。

總之，WPS為客戶端設(shè)備提供了一種比全球定位系統(tǒng)(GPS)更節(jié)能的定位方式。對于移動設(shè)備，WPS的耗電量也顯著低于GPS。蘋果是幾家運(yùn)營WPS的大型科技公司之一，其他公司還包括谷歌、Skyhook等。

由于常用的WPS系統(tǒng)(尤其是蘋果和谷歌的系統(tǒng))都是公開可訪問的，并且不會要求查詢數(shù)據(jù)庫的設(shè)備證明其確實(shí)能看到所聲稱的BSSID。換句話說，任何人都可以通過查詢?nèi)我釳AC地址來定位跟蹤個(gè)人(如果該地址存在于WPS數(shù)據(jù)庫中，服務(wù)器就會返回其位置信息)。

例如，遭受伴侶暴力的人搬到了一個(gè)未公開的地址，他們的前伴侶可以通過BSSID定期查詢WPS，直到受害者的Wi-Fi接入點(diǎn)(或旅行調(diào)制解調(diào)器、啟用Wi-Fi的電視等)的位置出現(xiàn)，從而泄露受害者的位置信息。

通常來說，這種基于BSSID查詢的WPS定位需要攻擊者事先了解目標(biāo)信息(例如MAC地址)，并且攻擊對象僅限單個(gè)目標(biāo)。

近日，在題為《通過Wi-Fi定位系統(tǒng)監(jiān)視大眾》的論文中，美國馬里蘭大學(xué)博士生ErikRye和副教授DaveLevin介紹了一種全新的蘋果WPS查詢方法，可被濫用于大規(guī)模監(jiān)視，甚至不使用蘋果手機(jī)(以及Mac電腦和iPad等蘋果設(shè)備)的人也可被監(jiān)控。

這種全新的WPS查詢方法能夠監(jiān)控全球范圍內(nèi)的設(shè)備，并可以詳盡地跟蹤設(shè)備進(jìn)入和離開目標(biāo)地理區(qū)域。研究者對蘋果WPS提供的數(shù)據(jù)進(jìn)行了系統(tǒng)的實(shí)證評估，發(fā)現(xiàn)這些數(shù)據(jù)涵蓋了數(shù)億臺設(shè)備，并且允許我們監(jiān)控Wi-Fi接入點(diǎn)和其他設(shè)備的移動情況。

蘋果的WPS最危險(xiǎn)

根據(jù)論文描述，WPS一般以兩種方式之一作出響應(yīng)。

WPS定位主要又兩種工作方式：要么計(jì)算客戶端位置并返回這些坐標(biāo)，要么返回提交的BSSID的地理位置(與AP硬件相關(guān)聯(lián))，并讓客戶端進(jìn)行計(jì)算以確定其位置。谷歌的WPS采用前者，而蘋果的WPS采用后者。

研究人員指出，谷歌和蘋果的WPS系統(tǒng)在基本工作原理上有根本區(qū)別，蘋果的系統(tǒng)由于其開放性，為安全研究人員和潛在的攻擊者提供了進(jìn)行這項(xiàng)研究的途徑。

研究人員指出，蘋果的WPS系統(tǒng)特別“熱情健談”(下圖)：

論文指出：“除了客戶端提交的BSSID的地理位置，蘋果的API還會隨機(jī)性地返回多達(dá)數(shù)百個(gè)附近BSSID的地理位置?！?/p>

“在蘋果的WPS版本中，用戶提交BSSID進(jìn)行地理定位，蘋果WPS則會返回其認(rèn)為的BSSID位置，同時(shí)返回的還包括用戶未請求的多達(dá)400個(gè)附近BSSID的位置。這400個(gè)額外的BSSID對于安全研究人員/黑客的研究非常重要，因?yàn)樗鼈冊试S研究人員在短時(shí)間內(nèi)積累大量的地理定位BSSID。此外，蘋果的WPS服務(wù)接口沒有設(shè)置認(rèn)證或速率限制，可以免費(fèi)使用?！?/p>

相比之下，谷歌的WPS則僅返回計(jì)算出的位置，并且經(jīng)過認(rèn)證、速率限制和收費(fèi)，使得進(jìn)行類似攻擊或安全研究變得難以負(fù)擔(dān)，因此比蘋果的WPS要安全得多。

俄烏戰(zhàn)爭和以色列哈馬斯沖突實(shí)戰(zhàn)案例

利用蘋果WPS系統(tǒng)的設(shè)計(jì)缺陷，Rye和Levin獲取并編譯了一個(gè)包含4.9億個(gè)BSSID的全球數(shù)據(jù)庫，從而可以追蹤全球大量個(gè)人和人群(包括軍事人員)的移動。

論文解釋道：“由于蘋果WPS的精度在幾米范圍內(nèi)，這使我們在許多情況下能夠識別出AP所在的個(gè)人家庭或企業(yè)。出于對用戶隱私的尊重，我們在本研究中審查的案例中不包括可能公開識別個(gè)人的例子。”

盡管如此，研究人員表示，使用論文中描述的技術(shù)“顯然有可能”確定個(gè)人或他們所屬群體的身份，“可以精確到個(gè)人姓名、軍事單位和基地，甚至是房車停車場。”

為了進(jìn)一步展示利用WPS進(jìn)行開源情報(bào)(OSINT)潛在的攻擊手法，研究者分享了幾個(gè)重點(diǎn)案例研究，包括：

• 俄烏戰(zhàn)爭：研究者首先利用蘋果的WPS分析了進(jìn)出烏克蘭和俄羅斯的設(shè)備移動情況，從而獲得了有關(guān)正在進(jìn)行的戰(zhàn)爭的一些見解(這些見解尚未公開)。研究者發(fā)現(xiàn)疑似軍用人員將個(gè)人設(shè)備帶入戰(zhàn)區(qū)，暴露了預(yù)部署地點(diǎn)和軍事陣地。研究結(jié)果還顯示了一些離開烏克蘭并前往世界各地的人員信息，這驗(yàn)證了有關(guān)烏克蘭難民重新安置地點(diǎn)的公開報(bào)道。
• 以色列-哈馬斯加沙戰(zhàn)爭：研究者使用蘋果的WPS追蹤加沙地帶居民的離境和遷徙情況，以及整個(gè)加沙地帶設(shè)備的消失情況。該案例研究表明，研究者可以利用蘋果的WPS數(shù)據(jù)跟蹤大規(guī)模停電和設(shè)備丟失事件。更糟糕的是，被追蹤設(shè)備的用戶從未選擇加入蘋果的WPS，在研究者進(jìn)行這項(xiàng)研究時(shí)也沒有退出機(jī)制。僅僅處于蘋果設(shè)備的Wi-Fi范圍內(nèi)，就可能導(dǎo)致設(shè)備的位置和移動信息被廣泛公開。事實(shí)上，研究者在蘋果的WPS中識別了來自1萬多家不同廠商的設(shè)備。

防御措施：IEEE不作為，馬斯克遭到表揚(yáng)

研究團(tuán)隊(duì)已將發(fā)現(xiàn)報(bào)告給蘋果、Starlink和GL.iNet，并建議通過在AP的WiFi網(wǎng)絡(luò)名稱中添加“_nomap”字符串來防止BSSID進(jìn)入WPS數(shù)據(jù)庫。蘋果已在其隱私和位置服務(wù)幫助頁面中增加了對“_nomap”的支持，而谷歌和WiGLE則早在2016年就已支持這一措施。

此外，研究人員建議實(shí)施BSSID隨機(jī)化，以防止通過WPS追蹤。這一措施得到了SpaceX產(chǎn)品安全團(tuán)隊(duì)的迅速響應(yīng)，他們在所有Starlink設(shè)備中加快了BSSID隨機(jī)化的實(shí)施步伐。然而，GL-iNet對這一建議的反應(yīng)不積極，表示暫無計(jì)劃部署該防御措施。

盡管目前業(yè)界尚未意識到將BSSID隨機(jī)化納入WiFi標(biāo)準(zhǔn)工作的重要性和緊迫性，研究人員希望這項(xiàng)研究能引起IEEE技術(shù)專家的重視，推動這一問題的解決，就像過去推動MAC地址隨機(jī)化那樣。

Rye指出：“BSSID隨機(jī)化是防止通過WPS追蹤的最有效的防御措施，因?yàn)槊看卧O(shè)備啟動(或移動位置)時(shí)生成一個(gè)隨機(jī)標(biāo)識符，將使其在WPS中看上去像是一個(gè)完全不同的設(shè)備?！?/p>

Rye還稱贊了SpaceX的產(chǎn)品安全團(tuán)隊(duì)迅速解決這一問題并在其產(chǎn)品中實(shí)施BSSID隨機(jī)化的舉措。

Rye透露：“在我們的研究期間，一些廠商的產(chǎn)品已經(jīng)開始實(shí)施BSSID隨機(jī)化，但星鏈對安全的重視程度顯然更高;與研究者交流后，星鏈加快了在所有星鏈設(shè)備上實(shí)施的步伐。值得注意的是，這一漏洞并非由SpaceX引起(他們無法控制蘋果或谷歌的行為)，但他們?nèi)匀患皶r(shí)且正確地解決了這一問題?！?/p>

研究人員還通知了旅行路由器制造商GL-iNet，但該公司反應(yīng)不積極。Rye表示：“他們承認(rèn)了研究者的擔(dān)憂以及隨機(jī)化BSSID的解決方案，但告訴我們他們沒有計(jì)劃部署該防御措施。”

Rye計(jì)劃在8月的黑帽大會上展示這篇論文。