Apple и Google собирают информацию о Wi-Fi точках доступа, видимых устройствами, что позволяет определять местоположение без использования GPS

Исследователи из Университета Мэриленда выявили серьёзные проблемы с безопасностью данных в системах геолокации Apple, которые к тому же затрагивают и Starlink. Информация об этом появилась в профильном телеграм-канале SecAtor

Как оказалось, Apple собирает информацию о Wi-Fi точках доступа (BSSID), видимых её устройствами, что позволяет определять местоположение без постоянного использования GPS. Аналогичные системы  работают и в Google.

В отличие от Google, система позиционирования Wi-Fi Apple (WPS) способна возвращает геолокацию до 400 близлежащих BSSID по запросу через официальный API.

Ученые полагают, что эти данные можно собирать для создания полномасштабной карты устройств с поддержкой Wi-Fi по всему миру, включая устройства сторонних производителей.

При этом периодические обновления массивов позволят отслеживать перемещение конкретных лиц и групп в течение определенного периода времени.

Ученые запросили информацию о более чем миллиарде случайно сгенерированных BSSID и получили данные о 488 миллионах точек доступа. Причем им удалось точно отследить и перемещение терминалов Starlink, например, в зоне проведения СВО, а также перемещения беженцев на юг Сектора Газа в ходе израильско-палестинского конфликта.

В ответ на результаты исследования, Starlink выпустила обновления ПО, которые рандомизируют BSSID устройств, что затрудняет их отслеживание. Исследователи отметили, что в последние месяцы количество устройств Starlink, местоположение которых можно было бы определять с помощью системы Apple, действительно снизилось.

Apple также отреагировала на исследование и внесла изменения в свою политику конфиденциальности, а в марте 2024 года позволила пользователям исключать свои Wi-Fi точки доступа из системы, добавив суффикс «_nomap» к имени сети.

Однако, по мнению исследователей, Apple следует все же внедрить дополнительные меры для ограничения злоупотреблений своим API, например, ограничение скорости запросов.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *