苹果WiFi，有风险

深入的学术研究表明，苹果的 Wi-Fi 定位系统 (WPS) 可能会被滥用，从而造成全球隐私噩梦。

在一篇题为《利用基于 Wi-Fi 的定位系统监视大众》的论文中，美国马里兰大学 (UMD) 的博士生 Erik Rye 和 UMD 副教授 Dave Levin 描述了苹果的 WPS 设计如何促进大规模监视，甚至监视那些不使用苹果设备的人。

“这项研究确定了 Wi-Fi AP（接入点）所有者可能遭受的危害，尤其是那些脆弱和敏感人群，这些人群可以使用 WPS 进行跟踪，”作者在论文中解释道。“这种威胁甚至适用于不拥有 WPS 所针对设备的用户 - 例如，没有 Apple 产品的个人，只要 Apple 设备进入 Wi-Fi 传输范围，就可以将其 AP 置于 Apple 的 WPS 中。”

苹果是运营 WPS 的几家公司之一，其他几家公司包括谷歌、Skyhook 等。它们为客户端设备提供了一种比使用全球定位系统 (GPS) 更节能的定位方法。对于手机来说，WPS 的耗电量也比 GPS 少。

使用 GPS 获取位置的移动设备通常会向 WPS 服务报告 Wi-Fi 接入点的 MAC 地址，该地址构成 AP 的基本服务集标识符 ( BSSID )。此后，其他未使用 GPS 的移动设备可以通过查询 WPS 服务来获取位置数据。

设备查询涉及向 WPS 发送附近的 BSSID 列表及其信号强度。正如论文所述，WPS 通常以两种方式之一做出响应。

它要么计算客户端位置并返回这些坐标，要么返回提交的 BSSID（与 AP 硬件相关联）的地理位置并让客户端执行计算以确定其位置。

谷歌的 WPS 属于前者，而苹果的 WPS 属于后者。但研究人员表示，苹果的系统非常善于沟通。

论文指出：“除了客户端提交的 BSSID 的地理位置之外，Apple 的 API 还会适时返回所请求 BSSID 附近的多达数百个 BSSID 的地理位置”。

论文合著者埃里克·赖伊 (Erik Rye) 向The Register解释道，谷歌和苹果的 WPS 系统的工作方式有着根本的不同，而且只有苹果的 WPS 系统由于其开放性，才提供了进行这项研究的方法。

“在苹果的版本中，你提交 BSSID 进行地理定位，它会返回它认为 BSSID 所在的地理位置，”Rye 说。“它还会返回更多你未请求的附近 BSSID（最多 400 个）。额外的 400 个 BSSID 对我们的研究非常重要，因为它们让我们能够在短时间内积累大量地理定位的 BSSID。此外，苹果的 WPS 无需身份验证或速率限制，可免费使用。”

他说，谷歌的 WPS 只是返回一个计算出的位置，而且需要经过身份验证、速率限制和付费，这使得开展此类研究变得困难。

苹果系统的设计使得 Rye 和 Levin 能够编制一个包含全球 4.9 亿个 BSSID 的数据库，然后他们可以使用该数据库来追踪个人和群体在一段时间内的行动。

“由于苹果 WPS 的精度达到米级，因此在许多情况下，我们能够识别 AP 所在的个人住宅或企业，”该论文解释道。“出于对用户隐私的尊重，我们在这项研究中研究的案例研究中不包括可以公开识别个人的例子。”

尽管如此，研究人员表示，利用论文中描述的技术“完全有可能”确定个人或团体的身份，“甚至可以确定个人姓名、军事单位和基地或房车停车位”。

本文继续探讨了此类位置数据的各种用途，包括攻击后的损害评估（通过消失的 BSSID）、使用 GL.iNet 旅行路由器的 BSSID 进行个人跟踪、以及通过 Starlink 终端 BSSID 追踪乌克兰的军事动向。

研究人员表示，他们已将研究结果报告给 Apple、Starlink 和 GL.iNet，并指出将 BSSID 排除在 WPS 数据库之外的一种方法是将字符串附加_nomap到 AP 的 Wi-Fi 网络名称或 SSID 之后 - SSID 由用户设置，而 BSSID 是硬件标识符。

_nomapApple在 3 月 27 日更新其隐私和位置服务帮助页面时添加了对 的支持。Google 的 WPS 和众包地理定位项目 WiGLE_nomap至少从 2016 年开始就支持该功能。我们获悉，这家 iPhone 巨头正在采取进一步的缓解措施来阻止所描述的跟踪。

“我们知道苹果公司非常重视我们的报告，”赖伊说。“据我们了解，他们正在准备采取一项或多项补救措施，我们希望这些补救措施能够帮助保护接入点所有者的隐私，他们永远不会知道将“_nomap”附加到他们的 SSID 中，以防止他们被纳入苹果的地理位置数据库。”

Rye 还称赞了 SpaceX 的产品安全团队迅速解决此问题并在其产品中实施 BSSID 随机化。

“在我们 2023 年的研究期间，他们已经开始让部分产品实施 BSSID 随机化，但在我们与他们交谈后，他们加快了在所有 Starlink 设备上实施的速度，”他说。“值得注意的是，这个漏洞不是由 SpaceX 造成的（他们无法控制苹果或谷歌的行为），但他们还是迅速以正确的方式处理了这个问题。”

“我们认为，BSSID 随机化是防止被 WPS 跟踪的最强大防御手段，因为每次设备启动（或移动位置）时都会生成一个随机标识符，这会使其在 WPS 中显示为完全不同的设备。”

作者还向旅行路由器制造商 GL-iNet 发出了警告，但发现该公司不太愿意接受。“他们承认了我们的担忧，并同意我们提出的随机化 BSSID 的解决方案，但告诉我们他们没有部署这种防御措施的计划，”Rye 说。

赖伊表示，虽然他不知道将 BSSID 随机化（建议的缓解措施）纳入 Wi-Fi 标准的工作，但他希望这项研究将鼓励 IEEE 的技术专家着手解决这个问题，就像他们过去对MAC地址随机化所做的那样。

“当然，客户端 MAC 地址随机化已经有近 10 年的历史了，我曾经研究过这个领域，你们也报道过这个领域，”他说。“这段历史可以提供一些教训，告诉我们什么该做，什么不该做。”

“具体来说，当设备制造商在传输中包含除 MAC 地址之外的其他不同唯一标识符时，或者当随机化问题导致多个‘随机’MAC 地址可链接时，客户端 MAC 地址随机化就会受到影响，”Rye 解释道。“实施 BSSID 随机化的 Wi-Fi 接入点制造商应小心谨慎，不要重复同样的错误。”

莱伊计划于 8 月份在美国黑帽大会上发表该论文。