5月27日消息，近日，蘋(píng)果的Wi-Fi定位服務(wù)（WPS）被曝存在嚴(yán)重漏洞，這一漏洞可能被濫用以監(jiān)控全球用戶的隱私，即便非蘋(píng)果設(shè)備用戶也難以幸免。

美國(guó)馬里蘭大學(xué)的安全研究人員在論文《使用基于Wi-Fi的定位系統(tǒng)監(jiān)測(cè)人群》中詳細(xì)描述了蘋(píng)果WPS的設(shè)計(jì)缺陷，這一缺陷不僅影響蘋(píng)果設(shè)備，也可能讓其他設(shè)備用戶的隱私暴露在風(fēng)險(xiǎn)之中。

根據(jù)論文描述，WPS定位主要有兩種工作方式：一是計(jì)算客戶端位置并返回這些坐標(biāo)；二是返回提交的BSSID（基本服務(wù)集標(biāo)識(shí)符）的地理位置（與AP硬件相關(guān)聯(lián)），并讓客戶端進(jìn)行計(jì)算以確定其位置。

其中谷歌的WPS采用前者，安卓手機(jī)會(huì)記錄它能看到的BSSID及其信號(hào)強(qiáng)度，并將數(shù)據(jù)發(fā)送到谷歌服務(wù)器，服務(wù)器使用WPS數(shù)據(jù)庫(kù)計(jì)算手機(jī)的位置，并將其發(fā)送給手機(jī)。

與谷歌的WPS相比，蘋(píng)果系統(tǒng)不僅返回請(qǐng)求的BSSID位置，還會(huì)額外返回多達(dá)400個(gè)附近BSSID的位置，且這一過(guò)程無(wú)需認(rèn)證、沒(méi)有速率限制，且完全免費(fèi)。

因此研究者發(fā)現(xiàn)，通過(guò)向蘋(píng)果WPS的API發(fā)送請(qǐng)求，可以獲取到大量BSSID的精確位置信息，這些信息可以用于追蹤和監(jiān)視個(gè)人和群體的移動(dòng)。

該研究團(tuán)隊(duì)通過(guò)一個(gè)月的API查詢，收集了超過(guò)十億個(gè)BSSID的位置數(shù)據(jù)，進(jìn)而繪制出設(shè)備在全球范圍內(nèi)的移動(dòng)地圖。

他們甚至利用這一漏洞追蹤了俄烏沖突區(qū)域的軍事設(shè)備移動(dòng)情況，顯示出這一漏洞的嚴(yán)重性和實(shí)際應(yīng)用的危險(xiǎn)性。

責(zé)任編輯：黑白

本文轉(zhuǎn)載于快科技，文中觀點(diǎn)僅代表作者個(gè)人看法，本站只做信息存儲(chǔ)