Tömeges megfigyelés Wi-Fi-alapú helymeghatározó rendszerekkel
A Black Hat USA 2024 rendezvényen Erik Rye kutató lenyűgözte a közösséget a tömeges megfigyelés Wi-Fi-alapú helymeghatározó rendszerekkel című előadásával, ami bemutatta, hogyan használják világszerte a kormányzati és ipari szereplők a Wi-Fi-alapú helymeghatározó rendszereket, arcfelismerő kamerákat és más fejlett technológiákat a tömeges megfigyelés céljából. A technológia fejlődése lehetővé teszi az emberek fizikai mozgásának, viselkedésének és társas kapcsolati hálózatainak követését anélkül, hogy tudnának róla.
A Wi-Fi-alapú megfigyelés során a mobiltelefonok automatikusan kapcsolatot keresnek a környező Wi-Fi hálózatokkal, még akkor is, ha a felhasználó nem csatlakozik aktívan. A Wi-Fi hozzáférési pontok rögzítik a MAC-címeket, amelyek azonosítják az eszközöket, és a mozgás követhető, különösen ha több pont között zajlik az áthaladás. A rendszerek képesek tömeges adatokat gyűjteni egy bevásárlóközpontban, vasútállomáson, repülőtéren vagy akár egész városrészekben.
Rye és csapata felfedezte, hogy az Apple WPS API-jához (Wi-Fi Positioning Service API) bármely külső fél hozzáférhetett hitelesítés vagy korlátozás nélkül. A WPS API célja eredetileg az volt, hogy lehetővé tegye az eszközök helymeghatározását Wi-Fi hálózatok alapján – például beltéri navigáció vagy offline térképalkalmazások esetén.
Azonban az API tömeges lekérdezésekre is nyitott, egy egyszerű szkripttel bárki lekérdezhette milliók BSSID-jét (Basic Service Set Identifier – azaz az egyedi Wi-Fi azonosítókat). Több mint 2 milliárd BSSID-t gyűjtöttek össze, lehetővé téve a Wi-Fi hálózatok pontos helymeghatározását globális szinten.
Ha valaki egy adott Wi-Fi hálózathoz csatlakozó eszközt használ, a hálózat BSSID-je alapján a helyzete követhető anélkül, hogy az eszközhöz közvetlen hozzáférés lenne szükséges. Egy támadó például lekérdezheti a Wi-Fi BSSID-jét,majd az Apple adatbázisa alapján megtalálja a pontos földrajzi helyet, így a személy mozgása valós időben nyomon követhető lesz – akár több ezer kilométerről.
Rye demonstrálta, hogy Ukrajnában és Gázában nyomon követhető volt a katonai csapatok és civilek mozgásapusztán az alapján, hogy milyen Wi-Fi útválasztók jelentek meg az eszközök közelében. Mindezt távérzékelésként, fizikai jelenlét nélkül, alacsony erőforrásigénnyel, a célpont tudta vagy hozzájárulása nélkül.
A legtöbb ember nincs tudatában annak, hogy eszközei nyomon követhetők a Wi-Fi hálózatokon keresztül, még akkor is, ha a GPS ki van kapcsolva. Bár a MAC-címek technikailag nem tartalmaznak nevet vagy e-mail címet, a viselkedésminták alapján profilépítés történhet, és összekapcsolhatók egy adott személlyel. Ha a rendszerhez biztonsági kamerákat is társítanak, akkor a mozgás nemcsak követhető, hanem beazonosítható is, így teljes körű valós idejű megfigyelés válik lehetővé.
A technológiát használják bűnmegelőzésre, üzleti elemzésre (pl. vevői mozgásminták egy üzletben) vagy nagy tömegrendezvények biztosítására. Az előadó utal arra, hogy egyes országokban politikai megfigyelésre, tüntetők azonosítására, vagy etnikai kisebbségek célzott ellenőrzésére is használják ezeket a rendszereket.
A Wi-Fi-alapú tömeges megfigyelés technológiája rendkívül hatékony, de komoly veszélyt jelenthet a magánszférára és az alapvető emberi jogokra, ha korlátlanul vagy jogilag szabályozatlanul használják.