安全研究人員:蘋果定位服務存有嚴重隱私漏洞

2024-05-25 11:14:00    編輯: 邱 倢芯
導讀 相當注重用戶隱私的蘋果,現在卻被安全研究人員發現,蘋果的定位服務存有嚴重隱私漏洞,這項漏洞可能會允許攻擊者使用行動 Wi-Fi 路由器的任何人位置,像是房車中的路由器,或商務旅行者經常使用的行動路由...


相當注重用戶隱私的蘋果,現在卻被安全研究人員發現,蘋果的定位服務存有嚴重隱私漏洞,這項漏洞可能會允許攻擊者使用行動 Wi-Fi 路由器的任何人位置,像是房車中的路由器,或商務旅行者經常使用的行動路由器等。

蘋果設備是如何確定使用者位置?主要是透過 GPS 定位技術,但 GPS 並不是唯一的技術。像是在城市地區,高樓層建築很難接收 GPS 衛星的訊號,因此行動裝置還會搭配使用基於 Wi-Fi 的定位系統(WPS)。

WPS 使用包含近 5 億個 Wi-Fi 路由器的全球資料庫。這不僅是他們可以實際存取的公共 ID,還包括他們可以看到的所有 BSSID(每個無線裝置的獨特識別碼),包括每個家庭的 Wi-Fi 路由器,設備無法存取你的路由器,但可以檢測並查閱資料庫以找出路由器的確切位置。

蘋果與 Google 都會維護自己的 WPS 資料庫,且使用的方式基本上是相同的:偵測附近的 BSSID,測量每個訊號的強度,然後將此數據與 WPS 資料庫進行比較,以確定行動裝置的位置。但蘋果與 Google 設備執行這項任務的方式有一個關鍵的不同,而這個不同就是隱私問題出現的地方。

Google 設備使用 WPS 時,會紀錄它可以看到的 BSSID 及其訊號強度,並將該資料傳送到 Google 伺服器,伺服器使用 WPS 資料庫計算手機的位置,並將其發送到手機。

但蘋果設備採取不一樣的方式。蘋果設備使用 WPS 時,也會接收附近的 BSSID 列表,但蘋果的 API 不會根據觀察到的接入點集及其接收到的訊號強度計算設備的位置,然後向用戶報告結果,而是請求附近最多 40,000 個地理位置靠近的 BSSID,隨後再使用約 8 個 BSSID 依據已知地標計算出使用者的位置。

研究人員發現,雖然蘋果的 Wi-Fi 地理定位 API 只知道其中約 300 萬個隨機生成的 BSSID,但蘋果也會從其他查詢中,返回了已儲存在其 WPS 中的額外 4.88 億個 BSSID 位置。這樣的結果讓惡意人士能夠竊取 WPS 資料庫。

研究人員發現,Starlink 的行動熱點風險是最大的,但該公司現在已經透過隨機話使用的 BSSID 來解決這個問題。如果你想要阻止蘋果與 Google 將你的路由器新增到其資料庫中,可以將 _nomap 新增到你的 SSID 中。

(首圖來源:shutterstock)



關鍵字: , , ,


標題:安全研究人員:蘋果定位服務存有嚴重隱私漏洞

地址:https://www.utechfun.com/post/375332.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

猜你喜歡