同很多打開頁面正在閱讀這篇文章的使用者一樣,筆者也是 android 陣營的成員之一。每天當我們在零售商店徘徊,在城市街道穿梭,或者去哪裡旅遊,我們随身攜帶的 android 智能手機就有可能變成實時的位址追蹤器。
出于對實時定位追蹤功能的安全考量,在 2015 年年初負責 android 移動作業系統開發的 google 架構師團隊對其進行了限制。然而最近釋出的一篇研究報告表明,在大多數 android 手機上并未部署這項功能,極少數手機即使激活了這項功能也能非常輕易的進行破解。
在這個「流量貴如油」的年代裡,智能手機使用者對于 wi-fi 的渴望和需求是直接且明顯的,無論到哪個場所都希望連接配接到可用的 wi-fi 網絡,才能發朋友圈刷微網誌看新聞等等。同所有開啟 wi-fi 功能的裝置一樣,智能手機也會持續搜尋附近可用的 access point(通路接入點,下文簡稱 ap),在每次掃描搜尋過程中智能手機都會向 wi-fi 網絡發送目前裝置的 mac(媒體通路控制)位址。
你可以将 mac 位址想象成你的名字,每次連接配接 wi-fi 網絡就像是一次相親,在建立更深的了解和互動(資料上傳和下載下傳)之前,你們都會互相交換姓名。縱觀 wi-fi 的發展曆史,mac 位址的自由互動并不會對使用者隐私産生太大的安全隐患。
然而伴随着移動計算能力的迅速崛起,你會突然震驚地發現 mac 位址的互動竟然演變成了個人數字足迹的深淵!這個深淵的可怕之處在于它無聲無息,在大多數人不知情的情況下記錄了我們的生活習慣和運作軌迹。它所記錄的繁雜資訊能夠知道我每天下班的時間;能夠知道我昨晚是走哪條道路到的酒吧;能夠知道我昨晚是何時離開的酒吧;能夠知道在過去 1 個月中我去過這家酒吧幾次等等。
蘋果(apple)和谷歌(google)已經意識到濫用 mac 位址互動的潛在危害,并已經采取了相應的措施。他們此前提出的解決方案是:建立有規律的僞随機 mac 位址數列,當智能手機掃描附近 ap 的時候就循環使用數列中的一個 mac 位址。
通過這種方式,那些日志記錄 mac 位址的 wi-fi 裝置就無法通過掃描直接關聯到具備目前智能手機硬體位址身份辨別的唯一 mac 位址。而隻有當智能手機真的加入連接配接到 wi-fi 網絡中,真實的 mac 位址才會顯示出來。
2014 年 6 月份在釋出 ios 8 系統的時候,蘋果引入了 mac 位址随機化功能。數月之後,谷歌的 android 作業系統也出于相同的安全考量,進行了實驗性質的功能支援。2015 年 3 月份谷歌開始全面推廣和部署,在最新的 android 7.1 nougat 版本中已經進化到第五個版本,如果按照 android 版本分布來看,大約有三分之二的 android 裝置部署激活了這項功能。
然而在最新公布的研究報告中發現,即使裝置目前運作的 android 版本支援 mac 位址随機化功能,但大部分裝置依然沒有啟用這項功能。在長達兩年的測試中,粗略估計有 960,000 台 android 裝置被掃描,然而隻有不足 60,000 台裝置(實際情況可能少于 30,000 台)激活了随機化 mac 位址功能。盡管在本次測試中共計接受檢測到了 60,000 個随機化 mac 位址,但是科研團隊認為其中有兩個或者更多随機化 mac 位址來自于同一台裝置。
換算成百分比後的數字同樣觸目驚心:在本次測試中隻有 6% 的 android 裝置提供 mac 位址随機化,而大部分 android 裝置直接使用真實且唯一的 mac 位址進行連接配接,極大程度上表明這項措施形同虛設。在測試過程中,科研人員發現唯一能夠正确 mac 位址随機化的裝置是 cat s60。與之形成鮮明對比的是,本次測試中幾乎所有 ios 裝置都很好的執行了位址随機化。
美國海軍學院資深教授,同時也是這篇論文的聯合作者之一 travis mayberry 在一封郵件中寫道:
對于普通手機使用者來說,我們的研究包含兩個非常重要的結論: 1)大部分 android 裝置并未激活這項技術,盡管事實上這些裝置所運作的新版作業系統都允許支援這項技術。 2)即使通過這種方式部署的 mac 位址随機化也存在很多薄弱點,非常容易被攻克。這給衆多普通使用者留下安全的錯覺,誤認為這項技術正防止裝置被追蹤記錄,然而事實上并沒有。
除了時而發生的全球管理 mac 尋址探針請求之外,在我們的實驗室環境中已經對所有出現的情況進行了細緻的觀察,我們能夠要求所有 android 裝置在資訊傳輸過程中強制附加此類探針。首先,在任意時間内一旦使用者點亮螢幕,一組全球管理探針請求就會被發送。這樣,即使使用者激活了 mac 位址随機化功能,兩者同時生效下就會讓這項隐私保護政策完全失效。 第二,如果手機接收到一個通話請求,不管使用者是否選擇接聽,全球管理探針請求都會進行發送。盡管黑客不大可能通過這種方式來主動攻擊手機,但是令人感到遺憾和不安的是,這些沒有必要同 wi-fi 關聯的活動資訊可能對使用者隐私造成意想不到的後果。
科研人員表示即使手機端 wi-fi 狀态處于關閉狀态,但是探針宣傳依然有可能獲得和利用手機的真實 mac 位址,這是因為手機中還有很多基于 wi-fi 的功能設定,例如激活基于 wi-fi 的定位設定。
即使在 android 裝置不顯示全球管理 mac 位址的情況下,科研人員表示依然存在多種方式來識别智能手機的真實 mac 位址。諸多方式中最有效且最常用的就是基于「資訊元素」(除了随機化 mac 位址之外的所有 mac 位址)對探針請求進行特征采集。這些元素可用于傳播手機的各種屬性,而且在通常情況下會在标準 wi-fi 協定之上部署擴充程式和特殊功能。
每款手機型号都有不同的賣點,恰恰是這些标簽的組合得以讓這款手機有别于其他手機,建立屬于自己的獨特簽名,即使激活 mac 位址随機化這種特征依然不會被泯滅。即使通過 mac 位址的更改,這些标簽也不會産生變動。科研團隊表示在本次研究過程中,借鑒了此前報告研究中的特征資訊采集技術,但在此基礎上進行了強化和精煉。在他們的報告中,寫道:
我們觀察發現相比較使用全球管理 mac 位址,在啟用 mac 位址随機化的時候大部分 android 裝置使用了不同的簽名。是以,前文中關于基于簽名的追蹤方式已經無法利用位址進行關聯。但通過剖析 android 随機化方案,以及差別不同裝置型号的衍生知識,我們已經能夠使用全球管理和随機化 mac 位址來正确配對探針請求的簽名。隻需要通過這些簽名的組合,我們就能精準和高效地映射和檢索全球管理 mac 位址。
科研人員表示,96% 已經部署位址随機化功能的 android 裝置都能利用這種精準的特征資訊采集技術進行破解。
恰恰是利用了手機自動連接配接 wi-fi 網絡的功能設定,在過去很多年以來攻擊者往往會将自己的 ap 僞裝成 attwifi, xfinitywifi 和 starbucks 等具有極高知名度的 ssid。研究人員表示,營運商或者制造商會配置手機以便于自動連接配接到某些 ap,進而極大地助長了此類攻擊的規模和安全隐患。
接下來要介紹的是反位址随機化終極技術,除了上文提及的 android 裝置之外,同樣适用于 ios 裝置。這項終極技術涉及到 wi-fi 控制消息(一個請求發送幀,下文簡稱 rts 幀)。隻需要向全球管理 mac 位址發送一個 rts 幀,攻擊者就能知道目前 wi-fi 覆寫範圍内某個或者多個手機的資訊。通過發送 rts 幀到不同 mac 位址以及觀察附近裝置的響應,攻擊者還能利用這項技術來蠻力破解未見過新裝置的 mac 位址。
科研團隊表示,rts 幀攻擊方式是利用 wi-fi 晶片處理低級控制消息的漏洞,可用于攻擊所有手機型号,生産廠商和作業系統。是以,這項漏洞并不是單單依靠蘋果和谷歌就能解決修複的。
所幸的是這種繞過攻擊手段盡管比較常見和長期存在,但卻存在一個緻命的缺陷:它要求攻擊者主動向目标裝置發送資訊。和上文中提及的其他攻擊方式有所不同的是,主動攻擊意味着攻擊者等着警察上門逮捕。
而且研究人員發現在 android 和 ios 手機也存在第二次位址随機化的安全隐患——啟用随機化的所有裝置都适用增量數列方式用于探針請求。假設 mac 位址随機化更新 5 次,目前使用的位址是 1234,科研人員發現接下來的 mac 位址随機化就是增量更新,會陸續使用 1235,1236,1237,最終會更新至 1238。
由于 mac 位址随機化的範圍隻有 4096 個,是以日常使用過程中裝置極有可能會和其他裝置「碰撞」。盡管這種攻擊的有效性并不是很高,但是科研人員隻需要檢視這些數字的變化就能鎖定追蹤手機的 mac 位址。研究人員表示,wi-fi 協定如果不經過徹底檢修,否則這個缺陷很難解決。
本次研究資料基于自 2015 年 1 月至 2016 年 12 月收集的超過 260 萬個不同 mac 位址,發現一半左右的位址是和裝置比對的全球管理 mac 位址,而另外一半則是随機化,而且由于單個裝置可能顯示多個不同的本地位址,是以推測實際上啟用随機位址的裝置會更少。
研究人員表示,本次收集的 mac 位址隻有極少部分屬于微軟的 windows phone/windows 10 mobile 作業系統,可能部分啟用位址随機化功能的 wp 裝置在手機清單中劃分到了未知型号一欄中。研究人員表示手動檢查的兩台 windows 手機并沒有啟用位址随機化。
包括 nexus 5x,nexus 6,nexus 6p,nexus 9 和 pixel 在内的所有 google 品牌 android 手機都提供了位址随機化功能。從目前收集到的資訊中,啟用 mac 位址随機化的 android 裝置完整清單包括:
● blackberry stv100-1 ● blackberry stv100-2 ● blackberry stv100-3 ● blackberry stv100-4 ● google pixel c ● google pixel xl ● htc htc 2ps650 ● htc nexus 9 ● huawei eva-al00 ● huawei eva-al10 ● huawei eva-dl00 ● huawei eva-l09 ● huawei eva-l19 ● huawei knt-al20 ● huawei nexus 6p ● huawei nxt-al10 ● huawei nxt-l09 ● huawei nxt-l29 ● huawei vie-al10 ● lge lg-h811 ● sony 402so ● sony 501so ● sony e5803 ● sony e5823 ● sony e6533 ● sony e6553 ● sony e6603 ● sony e6633 ● sony e6653 ● sony e6683 ● sony e6853 ● sony e6883 ● sony f5121 ● sony f5321 ● sony sgp712 ● sony sgp771 ● sony so-01h ● sony so-02h ● sony so-03g ● sony so-03h ● sony so-05g ● sony sov31 ● sony sov32
廣大的雷鋒網讀者,如果你因為正在使用的 android 裝置出現在上方的清單中而感到僥幸的話,這裡再給大家提個醒:正如前文所提及的,除了 cat s60 之外其他所有 android 手機盡管提供了位址随機化功能,但是這項功能形同虛設。而更為重要的是,絕大多數 android 使用者在激活 mac 位址随機化功能之後就誤認為自己不會被追蹤,但是這項研究得出了相反的事實。
這就意味着攻擊者隻需要少量工作,在極短的時間内就能探針附近的 android 使用者。對于那些真的不想要被追蹤的使用者應該使用 iphone,或者當你不想要洩漏關于位置或者移動路徑資訊的時候最好關機。