WiFi úniky dat a prevence

Máte zařízení schopné připojení k WiFi sítím? Odpověď je s největší pravděpodobností „ano“. V takovém případě byste měli vědět, že se s největší pravděpodobností jedná o únik potenciálně soukromých informací. Pokračujte ve čtení, pokud vás zajímá, co uniká a jak tomu předejít.

Když je vaše zařízení plně v režimu spánku, váš WiFi čip pravidelně uniká dvě informace:

• Názvy sítí, ke kterým jste se dříve připojili.
• MAC adresa vašeho zařízení.

Všimněte si, že mluvíme o hlubokém spánku. Vypnutí obrazovky nutně nestačí, protože přehrávání hudby nebo jiné služby mohou udržet váš telefon vzhůru.

Názvy zapamatovaných sítí

K prvnímu typu úniku dochází z důvodu «preferované síťové zátěže» (PNO). Tato funkce byla přidána do Honeycomb a v podstatě vyhledává WiFi sítě na pozadí odesláním požadavku na sondu¹ pro každou zapamatovanou síť. Pokračuje v tom, dokud není přijata odpověď, která indikuje, že přístupový bod sítě je v dosahu.

[1]: Požadavky na sondy používají zařízení WiFi k vyhledávání známých přístupových bodů. To se obvykle provádí, když není připojen k žádné síti. Mnoho značek však také odesílá požadavky na sondy, aby zjistily, zda jsou v dosahu sítě se silnějším signálem. V nejnovějších verzích Androidu skener bez PNO používaný, když je zařízení vzhůru, neuniká výše uvedená data.

Na rozdíl od pasivního skenování, kde čekáte, až přístupové body odvysílají svou přítomnost, je to rychlejší a nevyžaduje, aby zařízení zůstávalo po delší dobu vzhůru. Stručně řečeno: šetří baterii.

Výchozí chování odesílá názvy zapamatovaných sítí (SSID) jako součást požadavků na testování, i když to není vyžadováno s výjimkou skrytých SSID.

Co o vás mohou naznačovat vaše zapamatované SSID? Ve skutečnosti je lze použít k určení míst, která pravidelně navštěvujete, a vašich zvyků (např hotely), nebo dokonce konkrétní domy, pokud jsou názvy orientační (např. „Jimův router“) nebo jsou indexovány v wardriving databáze. Oblíbeným příkladem je WiGLE.net wardriving databáze. Když se podíváte na všechny sítě, ke kterým jste se v minulosti připojili, můžete také určit svou hlavní polohu s vyšší přesností. Existuje zajímavý experiment, který to ukazuje v praxi: SASQUATCH).

Vezměme si jako příklad náhodného člověka. Máme několik neškodných názvů sítí, které samy o sobě moc nenaznačují: „Home“, „HHonors“, „ATTwifi“, „Columbia University“… ale dejte je dohromady a už toho víte docela dost. Pokud by tato osoba odjela na dovolenou, učinilo by to také sadu zapamatovaných sítí pro uživatele jedinečnější. To zase usnadňuje zjištění jejich identity, přestože tyto podrobnosti jsou samy o sobě spíše nepodstatné.

MAC adresa vašeho zařízení

Pokud jde o MAC adresu vašeho zařízení, může fungovat jako jedinečný identifikátor a prozrazuje výrobce vašeho smartphonu. Každá MAC adresa ve skutečnosti obsahuje Organizačně jedinečný identifikátor.

Při použití s ​​více detektory to může umožnit třetí straně sledovat váš pohyb například v obchodním centru. To bylo také provedeno v experiment od stejného týmu za SASQUATCH, pokud máte zájem, přečtěte si o něm více. S trochou kreativity lze informace v průběhu času dokonce propojit s vaší skutečnou identitou – představte si například, že majitelé obchodních center spojují MAC adresy vašeho zařízení s vašimi návštěvami registru.

Útoky zlých dvojčat

Toto není únik informací, ale probereme to rychle, protože je užitečné porozumět tomu, co jedno z navrhovaných řešení dělá později. Využívá však úniku seznamu sítí.

Útočník může použít název sítě ke konkrétnímu zacílení na vás nebo na skupinu lidí tím, že se bude vydávat za jiný přístupový bod (buď osobní nebo oblíbenou síť, jako je kavárna). Tomu se říká útok «Evil Twin» a v podstatě sestává z nového přístupového bodu pomocí SSID, které vaše zařízení zná. MAC adresu přístupového bodu lze také snadno zfalšovat. To je možné v mnoha případech, jako jsou otevřené sítě nebo dokonce osobní sítě WPA, kde někdo jiný zná heslo. Použití WPA Enterprise je složitější, ale chrání proti tomu.

Ve většině případů to znamená, že normální provoz mohou číst ostatní, pokud jsou připojeni ke stejné síti, buď proto, že síť/klíč je sdílený (opět si vzpomeňte na příklad obchodu), nebo kvůli Evil Twinovi Záchvat. Použití HTTPS nebo dokonce VPN nebo tunelu SSH vás v těchto případech obvykle udrží v bezpečí, pokud nepřijmete vlastní kořenový certifikát.

Tato poslední část je tedy pokryta -- uvědomte si rizika, která s sebou přináší připojení k veřejným sítím, a jednejte podle toho. Ale co ten zbytek?

V ideálním případě by vaše zařízení vysílalo požadavky sondy s dotazem na blízké přístupové body, aby oznámily svou přítomnost, místo aby každý „volal“ jménem. To by fungovalo dobře pro normální SSID a odeslání SSID v požadavku sondy by bylo možné provést pouze pro skryté SSID. Jako vedlejší poznámku, to je důvod, proč byste neměli považovat skryté SSID za měřítko bezpečnostní. Pokud tak učiníte, vyřešilo by to problémy se sledováním polohy, ale musí být implementováno na úrovni čipu WiFi, což je to, co je aktivní a dochází k úniku dat, když je zařízení v hlubokém spánku.

Další alternativou je ruční odstranění zapamatovaných sítí, když již nejste v dosahu, nebo pouze odesílání požadavků sondy na blízké přístupové body po určení polohy zařízení. První vyžaduje ruční práci a druhý může být obrovským vybíječem baterie.

Naštěstí existují lepší řešení…

Policie na ochranu soukromí Wi-Fi

Wi-Fi Privacy Police má dvě funkce:

• Za prvé, automatizuje část „zapomenutí minulých přístupových bodů“ tím, že deaktivuje WiFi sítě, které nejsou in a zabráníte tak tomu, aby vaše zařízení vysílalo zapamatované sítě SSID, když je hluboko spát.
• Zadruhé se vás zeptá na nové přístupové body se známým názvem, ale jinou MAC adresou. Cílem je zabránit zosobnění přístupového bodu.

První bod funguje podle očekávání. Než bude síť zapomenuta, dojde ke krátké prodlevě, ale to pravděpodobně není problém, protože jste se pravděpodobně právě dostali mimo dosah.

Druhý by vás skutečně ochránil před zosobněním přístupového bodu, pokud je pouze SSID falešné. Pokud je útok zaměřen na konkrétní (veřejný nebo osobní) přístupový bod, MAC adresu by bylo také triviální zfalšovat. Měli byste si toho být vědomi, protože iluze bezpečí je horší než vědět o nedostatcích.

Toto je dobrá volba, pokud se chcete vyhnout úniku seznamu sítí, zvláště pokud nemáte root, protože root není vyžadován. Můžete to vzít z Google Play obchod. Aplikace je také open source (licencovaná pod licencí GPLv2+) a její zdrojový kód si můžete prohlédnout na GitHub.

Pry-Fi

Pry-Fi zabraňuje vašemu zařízení oznamovat seznam zapamatovaných sítí, ale stále umožňuje automatické připojení k sítím.

Vaše MAC adresa je navíc neustále randomizována, když nejste připojeni k WiFi síti, takže sledování je zbytečné. Při připojení k WiFi síti je také znovu náhodně rozdělena (nebudete používat stejnou MAC adresu pro budoucí pokusy o připojení).

V neposlední řadě přichází Pry-Fi s «War mode», který neustále a rychle mění vaši MAC adresu. To ztěžuje sledování jednoho zařízení a může otrávit sledovací data pro vaše okolí do určité míry stupně, i když pokud jste jediný, kdo to používá, bylo by možné přiřadit tyto skladby k singlu osoba.

Stručně řečeno: použijte toto, pokud chcete zabránit úniku seznamu sítí a sledování MAC.

Pro správnou funkci Pry-Fi je vyžadován root. Chcete-li jej nainstalovat, zkontrolujte Vlákno na fóru Pry-Fi XDA nebo zamiřte do Google Play obchod.

Vezměte prosím na vědomí, že Pry-Fi nebyl v posledních několika měsících aktivně vyvíjen, takže pokud vaše zařízení není podporováno, můžete mít smůlu. Více o důvodech si můžete přečíst zde.

Záplaty zdroje Pry-Fi

Tyto záplaty může aplikovat vývojář ROM (mohou vyžadovat dodatečné testování/opravu na některých zařízeních). Poskytují dvě funkce a jsou obecně spolehlivější než jiná řešení pro stejné funkce:

• Za prvé, MAC adresa vašeho zařízení je náhodně rozdělena při vyhledávání sítí, ale nikoli při připojení k síti.
• Zadruhé, z vašeho zařízení již neunikne seznam zapamatovaných sítí.

Pro více informací se nezapomeňte podívat na Vlákno na fóru XDA a související commity.