Krebs On Security cytuje raport: Apple i satelitarny serwis szerokopasmowy Starlink w ostatnim czasie podjęły kroki dotyczące potencjalnych konsekwencji bezpieczeństwa i prywatności związanych z tym, jak ich usługi geo-lokalizują urządzenia. Badacze z University of Maryland twierdzą, że polegali na publicznie dostępnych danych od Apple, aby śledzić lokalizacje miliardów urządzeń na całym świecie - w tym urządzeń nie-Apple, takich jak systemy Starlink - i odkryli, że mogą używać tych danych do monitorowania zniszczeń w Gazie, a także ruchów i w wielu przypadkach tożsamości żołnierzy rosyjskich i ukraińskich. Problem dotyczy sposobu, w jaki Apple zbiera i publicznie udostępnia informacje o dokładnej lokalizacji wszystkich punktów dostępu Wi-Fi widzianych przez swoje urządzenia. Apple zbiera te dane lokalizacyjne, aby zapewnić urządzeniom Apple crowdsourcingową, niskoenergetyczną alternatywę dla ciągłego żądania współrzędnych globalnego systemu pozycjonowania (GPS).
Zarówno Apple, jak i Google operują własnymi systemami pozycjonowania opartymi na Wi-Fi (WPS), które pozyskują pewne identyfikatory sprzętowe ze wszystkich punktów dostępu bezprzewodowego, które znajdują się w zasięgu ich urządzeń mobilnych. Obie firmy rejestrują adres Media Access Control (MAC), którego używa punkt dostępu Wi-Fi, znany jako podstawowy identyfikator zestawu usług (BSSID). Okresowo, urządzenia mobilne Apple i Google będą przekazywać swoje lokalizacje - zapytując GPS i/lub korzystając z wież komórkowych jako punktów odniesienia - wzdłuż z dowolnymi pobliskimi BSSID. Ta kombinacja danych pozwala urządzeniom Apple i Google określić, gdzie się znajdują w promieniu kilku stóp lub metrów, i to jest to, co pozwala Twojemu telefonowi komórkowemu nadal wyświetlać zaplanowaną trasę, nawet gdy urządzenie nie może uzyskać sygnału GPS.
Dzięki WPS Google, urządzenie bezprzewodowe przesyła listę pobliskich BSSID punktów dostępu Wi-Fi i ich siły sygnału - za pośrednictwem zapytania do interfejsu programowania aplikacji (API) Google - której WPS odpowiada obliczoną pozycją urządzenia. WPS Google wymaga co najmniej dwóch BSSID do obliczenia przybliżonego położenia urządzenia. WPS Apple również przyjmuje listę pobliskich BSSID, ale zamiast obliczać lokalizację urządzenia na podstawie zestawu obserwowanych punktów dostępu i ich odbieranych sił sygnału, a następnie raportować ten wynik użytkownikowi, API Apple zwróci geolokacje do 400 BSSID, które są w pobliżu. Następnie używa około ośmiu z tych BSSID do określenia lokalizacji użytkownika na podstawie znanych punktów orientacyjnych.
W istocie, WPS Google oblicza lokalizację użytkownika i udostępnia ją urządzeniu. WPS Apple przekazuje swoim urządzeniom wystarczająco dużą ilość danych o lokalizacji znanych punktów dostępu w okolicy, aby urządzenia mogły samodzielnie dokonać tego oszacowania. Tak twierdzi dwóch badaczy z University of Maryland, którzy teoretyzowali, że mogą użyć rozbudowanego API Apple do mapowania ruchów poszczególnych urządzeń z dowolnego niemal zdefiniowanego obszaru świata. Para z UMD powiedziała, że spędzili miesiąc na początku swoich badań, nieustannie wysyłając zapytania do API, pytając o lokalizację ponad miliarda losowo wygenerowanych BSSID. Dowiedzieli się, że choć tylko około trzech milionów z tych losowo wygenerowanych BSSID było znanych API geolokalizacyjnemu Wi-Fi Apple, Apple również zwróciło dodatkowe 488 milionów lokalizacji BSSID już zapisanych w ich WPS z innych zapytań. "Kreśląc lokalizacje zwrócone przez WPS Apple między listopadem 2022 a listopadem 2023 roku, Levin i Rye zauważyli, że mają niemal globalny widok lokalizacji powiązanych z ponad dwoma miliardami punktów dostępu Wi-Fi," dodaje raport. "Mapa pokazywała geolokalizowane punkty dostępu niemal w każdym zakątku globu, z wyjątkiem prawie całych Chin, rozległych obszarów pustynnych w centralnej Australii i Afryce, oraz głęboko w lasach deszczowych Ameryki Południowej."
Badacze napisali: "Obserwujemy, że routery przenoszą się między miastami i krajami, co potencjalnie reprezentuje przeprowadzkę ich właściciela lub transakcję biznesową między starym a nowym właścicielem. Chociaż nie ma koniecznie relacji 1-do-1 między routerami Wi-Fi a użytkownikami, domowe routery zazwyczaj mają ich tylko kilka. Jeśli ci użytkownicy są narażoną populacją, taką jak osoby uciekające przed przemocą partnerską lub prześladowcą, ich router będący po prostu online może ujawnić nową lokalizację."
ELI5: Badacze z University of Maryland odkryli, że Apple i Starlink mogą używać danych lokalizacyjnych do śledzenia ruchów i tożsamości ludzi oraz do monitorowania zniszczeń w Gazie. Apple i Google zbierają informacje o lokalizacji urządzeń za pomocą punktów dostępu Wi-Fi, co pozwala na określenie położenia urządzenia nawet, gdy GPS nie działa. Według badaczy, firmy te mogą śledzić ruchy urządzeń w różnych częściach świata na podstawie danych o punktach dostępu. Dzięki temu mogą dowiedzieć się, gdzie się znajdują urządzenia i jak się poruszają. Dodatkowo, urządzenia Apple i Google mogą udostępniać te informacje swoim użytkownikom w celu ustalenia położenia.
Źródła:
