Môže sa vaše zariadenie pripojiť k sieťam WiFi? Ak áno, pravdepodobne unikne potenciálne súkromné informácie. Pokračujte v čítaní, kde nájdete informácie o tom, ako zabrániť úniku údajov z WiFi.
Máte zariadenie schopné pripojiť sa k WiFi sieťam? Odpoveď je s najväčšou pravdepodobnosťou „áno“. V takom prípade by ste mali vedieť, že s najväčšou pravdepodobnosťou ide o únik potenciálne súkromných informácií. Pokračujte v čítaní, ak vás zaujíma, čo uniká a ako tomu zabrániť.
Keď je vaše zariadenie úplne v režime spánku, váš WiFi čip pravidelne uniká dve informácie:
- Názvy sietí, ku ktorým ste sa predtým pripojili.
- MAC adresa vášho zariadenia.
Všimnite si, že hovoríme o hlbokom spánku. Vypnutie obrazovky nemusí nevyhnutne stačiť, pretože prehrávanie hudby alebo iné služby môžu udržať váš telefón v režime spánku.
Názvy zapamätaných sietí
K prvému typu úniku dochádza v dôsledku „preferovaného odľahčenia siete“ (PNO). Táto funkcia bola pridaná do Honeycomb a v podstate vyhľadáva siete WiFi na pozadí odoslaním žiadosti o test¹ pre každú zapamätanú sieť. Pokračuje v tom, kým nedostane odpoveď, ktorá indikuje, že prístupový bod siete je v dosahu.
[1]: Požiadavky na testovanie používajú zariadenia WiFi na vyhľadávanie známych prístupových bodov. Zvyčajne sa to robí, keď nie je pripojený k žiadnej sieti. Mnohé značky však posielajú aj požiadavky sond, aby zistili, či sú v dosahu siete so silnejším signálom. V najnovších verziách systému Android skener bez PNO, ktorý sa používa, keď je zariadenie prebudené, neuniknú údaje, ktoré sme uviedli vyššie.
Na rozdiel od pasívneho skenovania, pri ktorom čakáte, kým prístupové body odvysielajú svoju prítomnosť, je to rýchlejšie a nevyžaduje, aby zariadenie zostalo v bdelom stave dlhší čas. Stručne povedané: šetrí batériu.
Predvolené správanie odosiela názvy zapamätaných sietí (SSID) ako súčasť žiadostí o testovanie, aj keď sa to nevyžaduje, s výnimkou skrytých SSID.
Čo o vás môžu naznačovať vaše zapamätané SSID? V skutočnosti sa dajú použiť na určenie miest, ktoré pravidelne navštevujete, a vašich zvykov (napr. kaviarne alebo hotely) alebo dokonca konkrétne domy, ak sú názvy orientačné (napr. „Jimov smerovač“) alebo sú uvedené v zozname databázy. Populárnym príkladom je WiGLE.net wardriving databázy. Ak sa pozriete na všetky siete, ku ktorým ste sa v minulosti pripojili, môžete tiež určiť svoju hlavnú polohu s vyššou presnosťou. Existuje zaujímavý experiment, ktorý to ukazuje v praxi: SASQUATCH).
Vezmime si ako príklad náhodného človeka. Máme niekoľko neškodných názvov sietí, ktoré samy o sebe veľa nenaznačujú: „Home“, „HHonors“, „ATTwifi“, „Columbia University“... ale dajte ich dokopy a už toho viete dosť. Ak by táto osoba odišla na dovolenku, pre používateľa by to tiež urobilo jedinečnú množinu zapamätaných sietí. Na druhej strane to značne uľahčuje zistenie ich identity, hoci tieto podrobnosti sú samy osebe dosť malé.
MAC adresa vášho zariadenia
Pokiaľ ide o MAC adresu vášho zariadenia, môže fungovať ako jedinečný identifikátor a prezrádzať výrobcu vášho smartfónu. Každá MAC adresa v skutočnosti obsahuje Organizačne jedinečný identifikátor.
Ak sa použije s viacerými detektormi, môže to umožniť tretej strane sledovať váš pohyb napríklad cez nákupné centrum. To sa tiež urobilo v pokus od rovnakého tímu za SASQUATCH, ak máte záujem, prečítajte si o ňom viac. S trochou kreativity môžu byť informácie časom dokonca prepojené s vašou skutočnou identitou – predstavte si napríklad, že majitelia nákupných centier spájajú MAC adresy vášho zariadenia s vašimi návštevami registra.
Útoky zlých dvojčiat
Toto nie je únik informácií, ale rýchlo o tom budeme diskutovať, pretože je užitočné pochopiť, čo robí jedno z navrhovaných riešení neskôr. Využíva však únik zoznamu sietí.
Útočník môže použiť názov siete na konkrétne zacielenie na vás alebo na skupinu ľudí tak, že sa vydá za iný prístupový bod (buď osobný alebo populárnu sieť, ako je napríklad kaviareň). Toto sa nazýva útok «Evil Twin» a v podstate pozostáva z nového prístupového bodu pomocou SSID, ktoré vaše zariadenie pozná. MAC adresa prístupového bodu môže byť tiež ľahko sfalšovaná. To je možné v mnohých prípadoch, ako sú otvorené siete alebo dokonca osobné siete WPA, kde niekto iný pozná heslo. Používanie WPA Enterprise je zložitejšie, ale chráni pred tým.
Vo väčšine prípadov to znamená, že normálnu premávku môžu čítať ostatní, ak sú pripojení k rovnakej sieti, buď preto, že sieť/kľúč je zdieľaný (opäť si spomeňte na príklad obchodu) alebo kvôli zlému dvojčaťu útok. Používanie HTTPS alebo dokonca VPN alebo tunela SSH vás v týchto prípadoch zvyčajne chráni, pokiaľ neprijmete vlastný koreňový certifikát.
Táto posledná časť je teda pokrytá -- uvedomte si riziká, ktoré so sebou prináša pripojenie k verejným sieťam, a podľa toho konajte. Čo však zvyšok?
V ideálnom prípade by vaše zariadenie vysielalo žiadosti sondy s požiadavkou blízkych prístupových bodov, aby oznámili svoju prítomnosť, namiesto „volania“ každého podľa mena. Toto by fungovalo dobre pre normálne SSID a odosielanie SSID v žiadosti o testovanie by sa dalo vykonať iba pre skryté SSID. Ako vedľajšia poznámka, to je dôvod, prečo by ste nemali považovať skryté SSID za meradlo bezpečnosť. Tým by sa vyriešili obavy týkajúce sa sledovania polohy, ale musí sa implementovať na úrovni čipu WiFi, ktorý je aktívny a dochádza k úniku údajov, keď je zariadenie v hlbokom spánku.
Ďalšou alternatívou je manuálne odstraňovanie zapamätaných sietí, keď už nie ste v dosahu, alebo odosielanie žiadostí o sondu pre blízke prístupové body po určení polohy zariadenia. Prvý vyžaduje manuálnu prácu a druhý môže byť obrovským vybíjaním batérie.
Našťastie existujú lepšie riešenia…
Polícia na ochranu osobných údajov Wi-Fi
Wi-Fi Privacy Police má dve funkcie:
- Po prvé, automatizuje časť „zabudnutia na minulé prístupové body“ zakázaním sietí WiFi, ktoré nie sú in a zabráni tak vášmu zariadeniu odosielať zapamätané sieťové SSID, keď je hlboko spať.
- Po druhé, spýta sa vás na nové prístupové body so známym názvom, ale s inou MAC adresou. Cieľom je zabrániť odcudzeniu identity prístupového bodu.
Prvý bod funguje podľa očakávania. Nastane krátke oneskorenie, kým sa sieť zabudne, ale to pravdepodobne nie je problém, pretože ste sa pravdepodobne práve dostali mimo dosah.
Druhý by vás skutočne ochránil pred odcudzením identity prístupového bodu, ak je sfalšované iba SSID. Ak je útok zameraný na konkrétny (verejný alebo osobný) prístupový bod, MAC adresu by bolo tiež triviálne sfalšovať. Mali by ste si to uvedomiť, pretože ilúzia bezpečnosti je horšia ako vedieť o nedostatkoch.
Toto je dobrá voľba, ak sa chcete vyhnúť úniku zoznamu sietí, najmä ak nemáte rootovanie, pretože root sa nevyžaduje. Môžete ho chytiť z Obchod Google Play. Aplikácia je tiež open source (licencovaná pod GPLv2+) a jej zdrojový kód si môžete pozrieť na GitHub.
Pry-Fi
Pry-Fi zabraňuje vášmu zariadeniu oznamovať zoznam zapamätaných sietí, ale stále umožňuje automatické pripojenie k sieťam.
Okrem toho je vaša MAC adresa neustále náhodná, keď nie ste pripojení k sieti WiFi, takže sledovanie je zbytočné. Po pripojení k sieti WiFi sa tiež znova náhodne rozdelí (nebudete používať rovnakú MAC adresu pre budúce pokusy o pripojenie).
V neposlednom rade Pry-Fi prichádza s «War mode», ktorý neustále a rýchlo mení vašu MAC adresu. To sťažuje sledovanie jedného zariadenia a môže do určitej miery otráviť údaje sledovania pre vaše okolie stupňa, aj keď ak ste jediný, kto ho používa, bolo by možné priradiť tieto skladby k singlu osoba.
Stručne povedané: toto použite, ak chcete zabrániť úniku zoznamu sietí a sledovaniu MAC.
Na správne fungovanie Pry-Fi je potrebný root. Ak ho chcete nainštalovať, skontrolujte Vlákno fóra Pry-Fi XDA alebo zamierte na Obchod Google Play.
Upozorňujeme, že Pry-Fi sa posledných pár mesiacov aktívne nevyvíjal, takže ak vaše zariadenie nie je podporované, môžete mať smolu. Viac o dôvodoch si môžete prečítať tu.
Záplaty zdroja Pry-Fi
Tieto záplaty môže aplikovať vývojár ROM (na niektorých zariadeniach môžu vyžadovať dodatočné testovanie/opravu). Poskytujú dve funkcie a sú vo všeobecnosti spoľahlivejšie ako iné riešenia pre rovnaké funkcie:
- Po prvé, adresa MAC vášho zariadenia je náhodne vybraná pri vyhľadávaní sietí, ale nie pri pripojení k sieti.
- Po druhé, z vášho zariadenia už neunikne zoznam zapamätaných sietí.
Ak chcete získať ďalšie informácie, nezabudnite si pozrieť Vlákno fóra XDA a súvisiace záväzky.