BlackHat USA 2024热点：Apple地理定位API暴露全球Wi-Fi接入点

主要观点总结

本文描述了马里兰大学研究员ErikRye关于现代移动操作系统，特别是Apple的Wi-Fi定位系统（WPS）对全球隐私构成的潜在威胁的研究。研究指出，WPS允许iOS设备利用Wi-Fi接入点进行地理定位，而无需GPS，但这一系统可能存在安全隐患。

关键观点总结

关键观点1: 研究揭示了WPS对隐私的潜在威胁。

ErikRye发现，非授权的第三方能够通过请求全球接入点的位置信息，重建Apple Wi-Fi地理位置数据库的副本，甚至追踪Wi-Fi路由器的移动。

关键观点2: WPS的工作原理和存在的风险。

WPS通过收集运行Apple或Google操作系统的设备的位置信息以及来自附近网络的相对信号强度，众包建立全球AP位置数据库。Apple的WPSAPI是开放且免费的，无需身份验证或API密钥即可查询，这为研究者提供了利用的机会。

关键观点3: 研究的应用和潜在风险。

ErikRye的研究包括创建全球Wi-Fi地图，包括最偏远地区的数据。此外，该研究可用于有针对性的隐私攻击，例如追踪个人搬家或使用移动AP旅行的情况。研究还包括战争情报的获取。

关键观点4: 应对方法。

虽然个人可以采取一些预防措施，如避免使用旅行AP并在搬家时采用新的AP，但苹果、接入点制造商甚至立法者也需要采取措施来改善接入点的安全性。例如，苹果已经实施了选择退出功能。

文章预览

马里兰大学研究员 ErikRye 在一项研究中揭示了现代移动操作系统，特别是Apple的 Wi-Fi 定位系统（WPS）对全球数亿人隐私构成的潜在威胁。该系统允许iOS设备利用Wi-Fi接入点进行地理定位，而无需GPS。研究发现，即使是非授权的第三方也能复制这一过程，通过请求全球接入点的位置信息，能够重建Apple Wi-Fi地理位置数据库的副本。更甚的是，通过重复查询，研究者能够追踪 Wi-Fi 路由器的移动，包括家庭搬迁、度假活动，甚至自然灾害和战争影响下的人流移动。研究记录了如2023 年毛伊岛野火和乌克兰战争中的人员流动。最后，研究者分享了他们在负责任披露方面的努力，并提出了限制Wi-Fi定位系统未来对用户隐私影响的建议。在8月份即将召开的BlackHat2024大会上， ErikRye将分享的他的研究成果。 ErikRye 的题目为 《Surveilling the Masses with Wi-Fi-Based Positioning Sy ………………………………