Les experts en sécurité ont indiqué qu'un élément clé des services de localisation de l'entreprise Apple contient une « vulnérabilité vraiment grave » qui permet, entre autres, de suivre les mouvements des troupes. La faille pourrait également permettre à des attaquants potentiels de découvrir l'emplacement de toute personne utilisant un routeur Wi-Fi mobile, comme dans les camping-cars et les routeurs de voyage parfois utilisés par les voyageurs d'affaires.
Vous pourriez être intéressé par
Comment fonctionnent les services de localisation Apple dispositifs? La technologie principale est le GPS, mais ce n’est pas la seule option. Par exemple, dans les zones urbaines, les immeubles de grande hauteur peuvent rendre difficile la réception de signaux très faibles des satellites GPS. Les systèmes de positionnement basés sur le Wi-Fi (WPS) constituent donc une autre méthode clé utilisée par les appareils mobiles.
WPS utilise une base de données mondiale de près de 500 millions de routeurs Wi-Fi. Ce qui est important : ce ne sont pas seulement les routeurs publics qui sont réellement accessibles, mais tous les BSSID que les systèmes WPS peuvent voir. Cela inclut, par exemple, votre routeur Wi-Fi domestique. Les appareils n'ont aucun accès à votre routeur, mais ils peuvent le détecter et connaître son emplacement exact en fonction de la base de données. De la même manière, ils maintiennent également leurs propres bases de données WPS. Apple, donc Google. La méthode qu'ils utilisent est fondamentalement la même : ils enregistrent les BSSID dans la zone, mesurent la force de chaque signal, puis comparent ces données à la base de données WPS pour déterminer où se trouve l'appareil mobile.
De quelle manière l'appareil Apple et Google effectuent cette tâche, cependant, il existe une différence majeure : c'est là que se pose le problème de la confidentialité.
Une vulnérabilité dans les services de localisation d'Apple
Les appareils Google utilisent WPS de la manière suivante : un téléphone Android enregistre les BSSID qu'il peut voir et la force de leur signal et envoie ces données à un serveur Google. Le serveur utilise la base de données WPS pour calculer l'emplacement du téléphone et l'envoie au téléphone.
Cependant, des experts en sécurité de l'Université du Maryland ont découvert que l'appareil Apple ils utilisent une approche différente. Le service WPS de l'entreprise Apple accepte également une liste de BSSID à proximité, mais au lieu de calculer l'emplacement d'un appareil en fonction d'un ensemble de points d'accès observés et de la puissance de leur signal reçu, puis de signaler ce résultat à l'utilisateur, l'API de l'entreprise Apple renvoie les emplacements géographiques des autres BSSID proches de celui demandé. Il utilise ensuite environ huit de ces BSSID pour déterminer l'emplacement de l'utilisateur en fonction de points de repère connus.
Fondamentalement, le système WPS de Google calcule la position de l'utilisateur et la communique à l'appareil. Le service WPS de l'entreprise Apple il fournit à ses appareils suffisamment de données sur l'emplacement des points d'accès connus dans la zone pour que les appareils puissent effectuer cette estimation par eux-mêmes.
Le traitement sur appareil est l'un des moteurs de l'activité de l'entreprise Apple et semble plus sûr - mais c'est là que le problème se pose.
Les experts susmentionnés de l'Université du Maryland ont émis l'hypothèse qu'ils pourraient tirer parti de l'étendue de l'API de l'entreprise. Apple pour cartographier les mouvements d'appareils individuels vers et depuis pratiquement n'importe quelle zone définie dans le monde. Les deux experts de l'UMD ont déclaré avoir passé un mois au début de leurs recherches à interroger constamment l'API, lui demandant l'emplacement de plus d'un milliard de BSSID générés aléatoirement.
Galerie de photos
Ils ont constaté que même si seulement trois millions environ de ces BSSID générés aléatoirement étaient connus par la géolocalisation Wi-Fi de l'entreprise. Apple, Apple a également renvoyé 488 millions d'emplacements BSSID supplémentaires déjà stockés dans son WPS à partir d'autres recherches. En conséquence, ils ont réussi à mettre la main sur la base de données WPS.
Lors de la visualisation des positions renvoyées par WPS à l'entreprise Apple entre novembre 2022 et novembre 2023, les chercheurs susmentionnés ont découvert qu’ils disposaient d’une vue d’ensemble quasi globale de l’emplacement de plus de deux milliards de points d’accès Wi-Fi.
En se concentrant sur d'autres zones plus petites indexées par l'API de localisation de l'entreprise, ont déclaré les experts Apple ils pouvaient suivre l'évolution des points d'accès Wi-Fi au fil du temps. Pourquoi cela pourrait-il être un gros problème ? Les experts universitaires ont déclaré que la géolocalisation des zones de conflit actives en Ukraine leur avait permis de déterminer l'emplacement et le mouvement des appareils Starlink utilisés par les forces ukrainiennes et russes.
Le risque était le plus grand avec les points d'accès mobiles Starlink, et la société s'attaque désormais à ce problème en randomisant les BSSID utilisés.
Si vous voulez empêcher cela Apple même Google a ajouté votre routeur à ses bases de données, vous pouvez ajouter nomap à votre SSID. Par exemple, si votre SSID wifi est actuellement John Appleseed Home, vous pouvez le changer en John Appleseed Home_nomap - cela donnera à l'entreprise Apple même Google vous dira que votre routeur est hors limites et ne collectera pas votre BSSID.
Vous pourriez être intéressé par
Entreprise Apple a déclaré qu'il prendrait des mesures pour limiter le nombre de requêtes pouvant être effectuées sur sa base de données afin d'atténuer le risque.
Vulnérabilité dans Apple Les services de localisation constituent un problème sérieux qui pourrait être utilisé à mauvais escient pour suivre les mouvements d'individus et de groupes. Apple prend des mesures pour corriger le problème, mais les utilisateurs devraient également envisager de prendre des mesures pour protéger leur vie privée, comme l'ajout de nomap à leur SSID.
Apple donc il s'y est lancé ces derniers temps. Mais ce sera probablement un problème à long terme et il a été découvert récemment. Je me demande ça Apple met à jour divers bogues de sécurité et ignore complètement celui-ci. Il ne le sait pas, ou alors il le sait très bien. La sécurité ne sera probablement pas leur point fort ces derniers temps ou ne l'a-t-elle jamais été ? Dur à dire
Ne vous inquiétez pas, nous aurons des emoji générés par une super IA, ajouterons des fonds d'écran LGBT++++++++++++ et plus personne ne soupirera de toutes les erreurs et ne fouinera plus - nous sommes sauvés.
Et tout le monde sera content