Если у вас есть Wi-Fi и он включен, предыдущее местонахождение вашего компьютера или мобильного устройства могут увидеть через веб все, кто захочет. Такова новая функция веб-поиска от Google.
Google публикует Ориентировочное местоположение миллионов айфонов, ноутбуков и других устройств с Wi-Fi соединением, практика, которая представляет последний финт в серии откровений о беспроводных устройствах и неприкосновенности частной жизни, раскрытых в этом году. Об этом стало известно CNET.
У Android телефонов поиск место нахождения включен регулярно, а уникальные коды оборудования соседних Wi-Fi устройств сообщат о тебе прямо в Google. Подобной практике следует и Microsoft, Apple и Skyhook Wireless в рамках «совместных усилий» каждой из этих компаний в поиске и размещении на карте вашего адреса точки доступа или маршрутизатора по всему миру. Конечно у этого есть преимущество — это помогает пользователям мобильных устройств определять свое место быстрее, чем они могли бы с использованием услуги GPS.
Только Google и Skyhook Wireless, однако, сделали и базу данных о расположении пользователей, связанных аппаратным идентификатором отслеживания по оборудованию с размещением адреса улиц в открытом доступе в Интернет, что вызывает новые вопросы о конфиденциальности. Если кто-то знает ваш идентификатор оборудования (например телефона), он может быть в состоянии найти и физический адрес, даже если вы никогда не намеревались делать его публичным.
Испытания, проведенные на прошлой неделе CNET и исследователем безопасности Ашканом Солтани показали, что примерно 10 процентов ноутбуков и мобильных телефонов с использованием Wi-Fi, соотнесены в Google с соответствующими адресами улиц. Список Skyhook Wireless менее внушителен, и кажется, приближается к 5 процентам.
«Я был удивлен, увидев такие точные данные о том, где мой ноутбук, и я жили», говорит Ник Доти , преподаватель технологий безопасности в Калифорнийском университете Беркли. Ввод уникального идентификатора аппаратных данных Доти в базу данных Google показывает его прежний дом в районе Капитолийского холма в Сиэтле.
Вот как это работает: Wi-Fi-устройства, включая ПК, айфоны, айпады и Android-телефоны, передают уникальный идентификатор оборудования, называемый МАС-адрес , примерно в радиусе от 30 до 60 метров. Если что-то захватывает и регистрирует его уникальный адрес (любая Wi-Fi сеть), Google может запросить и опубликовать в базе место, где это устройство было расположено, практика, которая может раскрыть личные данные, включая домашний или рабочий адрес или адреса часто посещаемых мест отдыха. Запрос Google делает в соответствии с известной международной программой, на специальном языке, а роутер или точка доступа, не защищенные от этого, с удовольствием делятся подобной информацией с крупнейшим поисковиком.
Как объяснил представитель Google, большой объем данных собирается и через сервисы Android и Google Street View. При их работе «случайно» собираются адреса не только роутеров, но и прочих Wi-Fi устройств, включая телефоны и домашние ПК (через их сетевые беспроводные адаптеры).
Генеральный директор Skyhook Wireless Тед Морган говорит, что его компания собирает только адреса точек доступа. Доти сказал, что компьютеры, возможно, были зарегистрированы в качестве точек доступа для тестирования, но «я, конечно, не сделал бы этого нарочно».
Алисса Купер , главный научный сотрудник компьютерного Центра демократии и технологий и сопредседатель целевой группы Internet Engeneering Task Force по геолокации, говорит, что ее ноутбук никогда не использовалась как Wi-Fi точка доступа. Ее предыдущий адрес на улице Коннектикут-авеню в Вашингтоне, округ Колумбия, где она жила с 2007 по 2009 год, тем не менее, проявился в расположение базы данных Google.
В течение минуты пользования открытым Wi-Fi из кофейни в районе Сан-Франциско, были обнаружены 76 уникальных MAC-адресов пользовательских ПК. Семь из них появились в базе данных Google в соответствующих местах с улицы, а три появились в Skyhook. (Тест 257 устройств общественного доступа Wi-Fi в Южном Сан-Франциско и окрестностях также обнаружили, что Google отображает около 10 процентов зарегистрированных устройств.)
Увы для предприимчивых хапуг или киберпреступников довольно тривиально узнать MAC-адрес цели. Они, как правило, не передаются через Интернет. Но любой, в пределах Wi-Fi диапазона может записать их, и легко понять которые MAC-адреса соответствуют каким производителям (диапазоны MAC давно перераспределены и находятся в общедоступных базах). Как может быть использована подобная информация долго гадать не надо. Зная полную информацию о вашем ПК, его довольно легко взломать и узнать всю конфиденциальную информацию.
Места и находящиеся там MAC- адреса были видны во время тестирования на всем протяжении Сан-Франциско. У устройства Apple, бывшего в кофейне, был реальный почтовый адрес из Граус Лейн в Вудбридж, штат Коннектикут. Другой адрес был обнаружен в нескольких километрах, еще один в Лос-Альтос, штат Калифорния, а четвёртый в Берлине. А MAC-адреса компьютеров, используемых двумя репортерами CNET, участвующими в исследовании, появилось в расположение базы данных Google, как расположеные в редакции CNET на Второй улице в Сан-Франциско. Данные были сняты за час до этого. Солтани заявил, что нашел айфон друга, как часто появляющийся в бельгийском ресторане французской кухни, и даже через базу узнал меню, которое он последний раз заказывал в мае.
Базы данных Google, также можно использовать, в некоторых случаях,и для отслеживания движения цели. Один пользователь HTC-устройства, подключенный к югу от исследуемого кафе в платной зоне Wi-Fi, в среду днем вылетел из аэропорта BWI, и был обнаружен на улице в пригороде Атланты в тот же вечер. Надо думать, что если бы стояла цель отследить весь маршрут абонента, это было бы довольно легко сделать. Еще один из ранее зарегистрированных в кофейне пользователей, переехал из инженерного корпуса в Рурском университете Бохума, Германия, по главной дороге в центр университета. Неясно, однако, как часто обновляется база данных в кафе, и изменились ли места для этих двух устройств, так как эти данные были зарегистрированы на прошлой неделе.
Кто ответит?
В заявлении, Google на английском сказано дословно:. «Мы собираем публично транслируемые MAC-адреса Wi-Fi точек доступа. Если пользователь включил беспроводный модем на мобильном устройстве, то устройство становится как Wi-Fi точка доступа, так что МАС-адрес такого устройства также может быть включен в базу данных. Wi-Fi точки доступа, которые часто переезжают, не нужны для наших баз данных о местоположениях, и мы принимаем различные меры, чтобы попытаться отказаться от них «.
Очевидно, все это делается с целью помочь всем нам ориентироваться на конкретном месте и, конечно, помочь рекламщикам эффективней «впаривать» нам продвигаемый товар или услугу.
Google не ответили на ряд вопросов, поставленных на прошлой неделе, в том числе, какие меры он принимает, чтобы отфильтровать мобильные устройства и ноутбуки из своей базы данных, и на то, как политика конфиденциальности регулирует этот сбор данных, и есть ли запросы правоохранительных органов или гражданских истцов с требованием раскрыть или уничтожить записи в базы данных. Компания также отказалась уточнить, как кто-то может удалить MAC-адрес своего устройства из базы данных, и вообще главный вопрос в том, что этот вопрос первый раз был задан еще прошлой осенью, но так и не получил ответа.
У Android-ов есть одно преимущество в конфиденциальности, которого нет у айфонов: они случайно генерируют их MAC-адреса при работе с открытыми точками доступа, используя диапазона адресов, которые помечены как еще нераспределенные. Соответственно каждый раз этот MAC разный. Но это только касается незащищенных паролем открытых сетей.
Майк Шеан, соучредитель Skyhook Wireless, которая подала иск о нарушении патентов против Google за ее отображение технологии в прошлом году, говорит, что если появляется МАС-адрес точки доступа, будь то iPhone или маршрутизатор Linksys, «мы бы забрали его. »
Шеан говорит, однако, что его компания пытается отфильтровать мобильные устройства, потому что они не являются полезными в предоставлении места нахождения. «если мы видим, что Точка доступа перемещается, является мобильным устройством, то наш интерес к ней равен 0», — сказал он. Однако заметим «мы все равно заберем его MAC-адрес».
Так же надо отметить, что это не удивительно, что таким образом компании пытаются узнать расположение пользователей (а как же еще). Ведь нет другого способа обычному компьютеру узнать его нахождение без GPS. Они предлагают вносить в базу все больше и больше новых устройств.
Один из способов отфильтровать мобильные МАС-адреса было бы сравнение их со списком производителей. Если это, например, адрес HTC, то HTC не делает фиксированные беспроводные точки доступа, а перемещается и может быть отброшен. Linksys же роутер (или D-Link или TP-link или Asus), с другой стороны, вероятно, будут оставаться в одном месте и будет в базе. А это означает, что недоброжелатели могут узнать ваш домашний адрес, даже если ваша сеть случайно попала в зону действия другого устройства (например телефон с Wi-Fi может по служебному широковещательному запросу отослать ваши данные в тот же Google).
Испытание базы данных расположения Skyhook, показали, что c тех пор, как запросы были выполнены из района залива Сан-Франциско, серверы компании ответили и геолокационными исправлениями для GPS нескольких МАС-адресов. Один вернулся адрес 791 Валенсии Санкт-(кофейня находится в 780 Валенсии Санкт-). Другой вернул адрес вдоль Эмбаркадеро в Сан-Франциско около технопарка At&T.
Но когда запросы были выполнены из Вашингтона, округ Колумбия, менее чем через 24 часа, серверы компании ответили ошибку: «Невозможно определить местоположение». Это очевидно, поскольку серверы Skyhook пришли к выводу, что МАС-адрес переместился на восточное побережье, и поэтому был мобильным устройством, которое должно быть удалено из их базы данных.
«В течении последнего времени запросы не могут отслеживать меня» говорит Солтани, исследователь безопасности , который свидетельствовал перед Сенатом США в прошлом месяце . «Вы можете найти, где я жил раньше, и когда туда переехал.»
Хотя Google и Skyhook уже давно предлагали способы написания Web API для программистов, с целью отправлять безопасные запросы на их базы данных, веб-интерфейсы увеличили доступность раскрытых данных. Один из хакеров, Сами Камкар, создал веб-страницу с такими данными в апреле, что позволяет отслеживать места MAC-адресатов, и эта страница не требует доступа в базу Google. Другая страница работает в открытом доступе через сервисы Skyhook.
«Мы не предлагаем доступ к Web API как продукт или услугу,» — заявил вчера Морган, руководитель Skyhook,- «То, что вы видели, взлом нашего протокола и нарушение нашего лицензионного соглашения». Skyhook, тем не менее, предлагают бесплатный C + + исходный код , который делает то же самое.
Реальная проблема, говорит Солтани, исследователь безопасности, в том, что нет никакой прозрачности и системы в том, как эта услуга вообще работает и как пользователь может отказаться от нее. — «Мы проводим с этими устройствами все время, и они показывают на карте где мы находимся».
В заключение нужно отметить, что кроме Skyhook существует множество Wi-Fi сетей и все они устроены однотипно. И помните, Google собирал и продолжает собирать данные о ваших роутерах в рамках международного открытого проекта, а это значит, что если ваша Wi-Fi сеть не защищена особым способом, то ваше оборудование ответит запросу Google и расскажут ему о вашем местоположении.
Нам задавали вопрос, как же избежать этого? Исходя из логики, способов немного. Способ один, находясь в кафе или других местах с открытыми Wi-Fi точками доступа, использовать их только через Android- устройства. Способ второй- сделать свою домашнюю сеть скрытой для других устройств. И наконец, способ третий и главный, ОТКЛЮЧАЙТЕ Wi-Fi на своих мобильных устройствах, когда его не используете!!!
AGPerm 