Met het Wi-Fi Positioning System (WPS) dat Apple gebruikt, is het mogelijk om Wi-Fi access points (AP’s) wereldwijd in kaart te brengen en zelfs te volgen indien ze mobiel zijn. Daarvoor is niet eens een Apple-apparaat nodig.
Een onderzoeker van de Universiteit van Maryland (VS) genaamd Erik Rye wist op deze manier een grote hoeveelheid BSSID’s te verzamelen om een gedetailleerd beeld te bouwen van AP’s wereldwijd. Zijn onderzoek toont aan dat iedereen met de juiste know-how op deze manier gevoelige info boven water kan halen, bijvoorbeeld over locaties met internettoegang in conflictgebieden.
Apple verzamelt via iPhones gegevens over het AP waar ze gebruik van maken, om op die manier locatiegegevens aan te vullen wanneer een GPS-signaal niet of onvoldoende beschikbaar is. Alle gegevens van Apple-telefoons samen zorgen voor een goed beeld van AP’s in een bepaald gebied.
Geen API-sleutel nodig
De devices sturen namelijk periodiek GPS-coördinaten naar Apple, met daarbij de relatieve sterkte van het gebruikte Wi-Fi-signaal waar ze aan hangen. Deze worden geïdentificeerd aan de hand van hun Basic Service Set Identifier (BSSID). Google doet dit overigens ook voor Android-toestellen, maar gebruikt hiervoor een eigen systeem.
De WPS-API die Apple gebruikt, heeft in tegenstelling tot die van Google geen sleutel nodig. Deze kan vrijelijk worden bevraagd door derden zonder verdere authenticatie. Ook geeft Google’s systeem minder data af en vereist elke query een (zeer) klein bedrag. Dat maakt brute forcing onaantrekkelijk, omdat de kosten ondanks het kleine bedrag door de vele pogingen enorm zouden oplopen.
BSSID’s brute-forcen
Door de eigenaardigheid in het systeem van Apple wist onderzoeker Erik Rye met behulp van een programma geschreven in Go via een Linux-systeem een hoeveelheid BSSID’s te brute-forcen. Wanneer hij een keer beet had, was de WPS-API van Apple ook nog eens zo vriendelijk om 400 naburige AP’s te delen.
Erik Rye vertelt meer over zijn onderzoek op het Black Hat cybersecurity-evenement dat van 3 tot en met 8 augustus plaatsvindt in Las Vegas. De website DarkReading (deel van hetzelfde bedrijf dat ook het evenement organiseert) licht een tip van de sluier op.
Rye’s methode maakte ‘snowball-sampling’ mogelijk, waarmee hij al heel snel zijn nieuw verworven dataset met BSSID’s wist aan te vullen. Om precies te zijn verwierf hij er een half miljard in minder dan een week. Daarmee had hij een soort wereldkaart van Wi-Fi access points in handen, met dank aan Apple. Onder die locaties zaten AP’s van Starlink in Oekraïne, evenals AP’s in Gaza. Dergelijke data heeft een niet te onderschatten militaire waarde.
Het is niet nodig dat de eigenaar van een AP een Apple-device heeft om deze door te sturen naar de uitgebreide AP-database van Apple. Wanneer een naburig Apple-device naar netwerken scant, is dat al voldoende om de BSSID’s op te slaan.
Let wel: het is via deze methode niet mogelijk om daadwerkelijk verbinding met de netwerken te maken. Het gaat erom dat op deze manier een uitgebreid netwerk van Wi-Fi access points in kaart kan worden gebracht én dat derde partijen met de juiste hulpmiddelen toegang hebben tot die informatie.
Zo gevonden
Wanneer internetgebruikers een mobiel AP gebruiken, bijvoorbeeld in een caravan of camper, is het zelfs mogelijk hen op deze wijze te volgen. Rye wist bij wijze van case study de precieze locatie van het woestijnfestival Burning Man aan te wijzen via aanwezige AP’s in de woestijn van de Amerikaanse staat Nevada (waar dit soort signalen verder nooit zouden opduiken).
Dat maakt de methode geschikt voor specifieke monitoring en surveillance, of -om maar wat te noemen-, een droneaanval op een plek met veel verkeer via AP’s waar je die niet wenst te hebben.
Hoewel het mogelijk is voor tech-savvy internetgebruikers om hun BSSID van een willekeurige waarde te voorzien via systemen als OpenWrt, gaat dit de meeste huis-tuin-en-keukengebruikers echter boven de pet. Een andere methode die Rye voorstelt is om simpelweg af te zien van mobiele AP’s. Het is overigens ook mogelijk om een opt-out te doen door ‘_nomap’ toe te voegen aan de netwerknaam. Dat moet je dan natuurlijk maar net weten.
Lees ook: Locatiegegevens Nederlandse mobiele telefoons zijn online te koop