Apple і компанія супутникового зв’язку Starlink, чиїми пристроями користується багато наших оборонців, нещодавно зробили кроки у відповідь на нові дослідження щодо потенційних наслідків для безпеки та конфіденційності того, як їхні сервіси визначають географічне розташування пристроїв. Дослідники з Університету Меріленда стверджують, що вони покладалися на загальнодоступні дані Apple, щоб відстежити місцезнаходження мільярдів пристроїв по всьому світу – в тому числі і не від Apple, таких як системи Starlink – і виявили, що можуть використовувати ці дані для моніторингу руйнувань в Газі, а також пересування і, в багатьох випадках, ідентифікації російських і Українських військ по лінії зіткнення.
Йдеться про те, як Apple збирає і публічно ділиться інформацією про точне місцезнаходження всіх точок доступу Wi-Fi, які бачать її пристрої. Apple збирає ці дані про місцезнаходження, щоб надати пристроям Apple краудсорсингову, малопотужну альтернативу постійному запиту координат глобальної системи позиціонування (GPS).
І Apple, і Google використовують власні системи позиціонування (WPS) на базі Wi-Fi, які отримують певні апаратні ідентифікатори від усіх точок бездротового доступу, що перебувають у зоні досяжності їхніх мобільних пристроїв. Обидві компанії записують MAC-адреси, які використовує точка доступу Wi-Fi, відомі як ідентифікатор базового набору послуг (Basic Service Set Identifier або BSSID).
Періодично мобільні пристрої Apple та Google передають своє місцезнаходження – запитуючи GPS та/або використовуючи вежі стільникового зв’язку як орієнтири – разом з будь-якими найближчими BSSID. Ця комбінація даних дозволяє пристроям Apple і Google визначати своє місцезнаходження з точністю до кількох футів або метрів, і саме це дозволяє вашому мобільному телефону продовжувати відображати запланований маршрут, навіть якщо пристрій не може зафіксувати місцезнаходження за допомогою GPS.
За допомогою Google WPS бездротовий пристрій надсилає список BSSID найближчих точок доступу Wi-Fi та рівень їхнього сигналу – за допомогою запиту через інтерфейс прикладного програмування (API) до Google, – а Google WPS відповідає розрахованим положенням пристрою. WPS Google вимагає щонайменше два BSSID для обчислення приблизного місцезнаходження пристрою.
WPS від Apple також приймає список найближчих BSSID, але замість того, щоб обчислювати місцезнаходження пристрою на основі набору спостережуваних точок доступу та рівня сигналу, який вони приймають, а потім повідомляти цей результат користувачеві, API Apple повертає геолокацію ще до 400 сотень BSSID, які знаходяться поруч із запитуваною точкою. Потім він використовує приблизно вісім з цих BSSID, щоб визначити місцезнаходження користувача на основі відомих орієнтирів.
По суті, WPS від Google обчислює місцезнаходження користувача і передає його пристрою. WPS від Apple надає своїм пристроям достатньо великий обсяг даних про розташування відомих точок доступу в регіоні, щоб пристрої могли робити цю оцінку самостійно.
Так вважають двоє дослідників з Університету Меріленда, які теоретично припустили, що можуть використати багатослівність API Apple, щоб скласти карту переміщення окремих пристроїв в і з практично будь-якої визначеної області світу. На початку свого дослідження вони витратили місяць на постійні запити до API, запитуючи його про місцезнаходження понад мільярда BSSID, згенерованих випадковим чином.
Вони дізналися, що хоча лише близько трьох мільйонів з цих випадково згенерованих BSSID були відомі API геолокації Wi-Fi від Apple, Apple також повернула ще 488 мільйонів місць розташування BSSID, які вже зберігаються в її WPS, з інших пошукових запитів.
Доцент UMD Девід Левін та аспірант Ерік Рай виявили, що здебільшого можна уникнути запиту нерозподілених BSSID, звернувшись до списку діапазонів BSSID, закріплених за певними виробниками пристроїв. Цей список веде Інститут інженерів з електротехніки та електроніки (IEEE), який також є спонсором конференції з питань конфіденційності та безпеки, на якій Рай сьогодні має представити дослідження UMD.
Наносячи на карту місцезнаходження, повернуті WPS від Apple в період з листопада 2022 по листопад 2023 року, Левін і Рай побачили, що у них є майже глобальне уявлення про місцезнаходження, прив’язані до більш ніж двох мільярдів точок доступу до мережі Wi-Fi. На карті були позначені геолокаційні точки доступу майже в кожному куточку земної кулі, за винятком майже всього Китаю, величезних ділянок пустелі в центральній Австралії та Африці, а також глибоко в тропічних лісах Південної Америки.
Дослідники стверджують, що, зосередившись на інших менших регіонах, які індексуються API визначення місцезнаходження Apple, вони можуть відстежувати переміщення точок доступу Wi-Fi з плином часу. Чому це може бути важливо? Вони виявили, що за допомогою геозонування зон активного зіткнення в Україні вони змогли визначити місцезнаходження і переміщення пристроїв Starlink, які використовувалися як українськими, так і деякими російськими військами.
Причина, по якій вони змогли це зробити, полягає в тому, що кожен термінал Starlink – тарілка і пов’язане з нею обладнання, яке дозволяє клієнту Starlink отримувати інтернет-послуги від сузір’я орбітальних супутників Starlink – включає в себе власну точку доступу Wi-Fi, місцезнаходження якої автоматично індексується будь-якими пристроями Apple, що знаходяться поблизу, з увімкненими послугами визначення місцезнаходження.
Команда Університету Меріленда провела географічну прив’язку різних зон війни в Україні і виявила щонайменше 3 722 терміналів Starlink, геолокалізованих в Україні.
«Ми виявили те, що схоже на особисті пристрої, які військовослужбовці приносять у зони бойових дій, викриваючи місця попереднього розгортання і військові позиції, – пишуть дослідники. «Наші результати також показують осіб, які виїхали з України в різні країни, підтверджуючи публічні повідомлення про те, куди розселилися українські біженці».
В інтерв’ю KrebsOnSecurity команда UMD повідомила, що на додаток до викриття місць попередньої дислокації російських військ, дані про місцезнаходження дозволяють легко побачити, звідки походять пристрої в спірних регіонах.
«Це включає в себе житлові адреси по всьому світу», – сказав Левін. «Ми навіть вважаємо, що можемо ідентифікувати людей, які приєдналися до Українського іноземного легіону».
Левін і Рай заявили, що поділилися своїми висновками зі Starlink у березні 2024 року, і що Starlink повідомила їм, що компанія почала надсилати оновлення програмного забезпечення в 2023 році, які змушують точки доступу Starlink рандомізувати свої BSSID.
Материнська компанія Starlink, SpaceX, не відповіла на запити про коментарі. Але дослідники поділилися графіком, який, за їхніми словами, був створений на основі даних моніторингу BSSID Starlink, і який показує, що лише за останній місяць відбулося значне падіння кількості пристроїв Starlink, які були геолокалізовані за допомогою API Apple.
Вони також поділилися письмовою заявою, отриманою від Starlink, в якій визнається, що маршрутизатори Starlink User Terminal спочатку використовували статичні BSSID/MAC-адреси:
«На початку 2023 року було випущено оновлення програмного забезпечення, яке рандомізувало BSSID головного маршрутизатора. Наступні випуски програмного забезпечення включали рандомізацію BSSID ретрансляторів WiFi, пов’язаних з головним маршрутизатором. Оновлення програмного забезпечення, які включають функцію рандомізації ретрансляторів, наразі розгортаються по всьому парку на регіональній основі. Ми вважаємо, що дані, наведені у вашій статті, ґрунтуються на основних маршрутизаторах та/або ретрансляторах Starlink, які були опитані до отримання цих оновлень рандомізації».
Дослідники також зосередили свою геофіксацію на війні між Ізраїлем і ХАМАС в Газі і змогли відстежити міграцію і зникнення пристроїв по всьому сектору Газа, коли ізраїльські війська відключили електроенергію в країні, а бомбардування вивели з ладу ключові об’єкти інфраструктури.
«З плином часу кількість газифікованих BSSID з геолокаційною прив’язкою продовжувала зменшуватися, – пишуть вони. «До кінця місяця лише 28% оригінальних BSSID все ще були знайдені в Apple WPS».
Наприкінці березня 2024 року Apple непомітно оновила свій веб-сайт, зазначивши, що будь-хто може відмовитися від того, щоб Apple збирала та поширювала інформацію про місцезнаходження їхніх бездротових точок доступу, додавши «_nomap» до кінця імені точки доступу Wi-Fi (SSID). Додавання «_nomap» до імені вашої мережі Wi-Fi також блокує Google від індексації її місцезнаходження.
На запитання про зміни в Apple відповіли, що вони поважають прапорець «_nomap» на SSID вже деякий час, але про це було сказано лише в статті підтримки на початку цього року.
Рай сказав, що відповідь Apple торкнулася найбільш гнітючого аспекту їхнього дослідження: Раніше ніхто не міг відмовитися від цього збору даних.
«У вас може не бути продуктів Apple, але якщо у вас є точка доступу і хтось поруч з вами володіє пристроєм Apple, ваш BSSID буде в базі даних [Apple]», – сказав він. «Важливо зазначити, що кожна точка доступу відстежується, незалежно від того, чи є на ній пристрій Apple, чи ні. Тільки після того, як ми розповіли про це Apple, вони додали можливість для людей відмовитися від цього».
Дослідники висловили сподівання, що Apple розгляне додаткові заходи безпеки, такі як проактивні способи обмеження зловживань своїм API визначення місцезнаходження.
«Це хороший перший крок, – сказав Левін про березневе оновлення політики конфіденційності Apple. «Але ці дані становлять дійсно серйозну вразливість конфіденційності. Я сподіваюся, що Apple запровадить подальші обмеження на використання свого API, наприклад, обмежить швидкість цих запитів, щоб люди не накопичували величезні обсяги даних, як це зробили ми».
Дослідники UMD заявили, що опустили деякі деталі свого дослідження, щоб захистити користувачів, яких вони змогли відстежити, зазначивши, що методи, які вони використовували, можуть становити ризик для тих, хто рятується від жорстоких стосунків або переслідувачів.
«Ми спостерігаємо, як роутери переміщуються між містами та країнами, що потенційно може свідчити про переїзд їхнього власника або ділову операцію між старим і новим власником, – пишуть вони. «Хоча між Wi-Fi роутерами та користувачами не обов’язково існує зв’язок 1 до 1, домашні роутери зазвичай мають лише кілька користувачів. Якщо ці користувачі належать до вразливих груп населення, наприклад, ті, хто рятується від насильства з боку близького партнера або переслідувача, їхній роутер, просто перебуваючи в мережі, може розкрити їхнє нове місцезнаходження».
Дослідники зазначають, що точки доступу Wi-Fi, які можна створити за допомогою вбудованого стільникового модему мобільного пристрою, не створюють ризику розголошення місцезнаходження користувачів, оскільки точки доступу мобільних телефонів обирають випадковий BSSID при активації.
«Сучасні пристрої Android та iOS обиратимуть випадковий BSSID, коли ви переходите в режим хот-споту», – сказав він. «Точки доступу вже впроваджують найсуворіші рекомендації щодо захисту конфіденційності. Інші типи пристроїв цього не роблять».
Наприклад, дослідники виявили, що деякі поширені туристичні маршрутизатори збільшують потенційні ризики для конфіденційності.
«Оскільки туристичні маршрутизатори часто використовуються в кемперах або на човнах, ми бачимо, що значна їх кількість переміщується між кемпінгами, автофургонами та пристанями для яхт, – пише дует UMD. «Їх використовують відпочивальники, які пересуваються між житловими будинками та готелями. У нас є докази їх використання військовослужбовцями, коли вони перекидаються зі своїх домівок і баз в зони бойових дій».
Копія дослідження UMD доступна тут (PDF).