Μια ομάδα ακαδημαϊκών ερευνητών από το Πανεπιστήμιο του Αμβούργου στη Γερμανία ανακάλυψε ότι οι κινητές συσκευές διαρρέουν πληροφορίες αναγνώρισης των κατόχων τους μέσω αιτημάτων ανίχνευσης Wi-Fi.
Οι κινητές συσκευές χρησιμοποιούν αυτά τα αιτήματα ανίχνευσης για να λαμβάνουν πληροφορίες σχετικά με κοντινά σημεία πρόσβασης Wi-Fi και να δημιουργούν συνδέσεις με αυτά όταν λαμβάνεται μια απάντηση ανιχνευτή.
Οι εισβολείς που μπορούν να “μυρίσουν” την κυκλοφορία του δικτύου, λένε οι ακαδημαϊκοί, μπορούν να χρησιμοποιήσουν αυτά τα αιτήματα ανίχνευσης για να παρακολουθήσουν και να αναγνωρίσουν συσκευές, ακόμη και να εντοπίσουν την τοποθεσία τους.
Σύμφωνα με αυτούς, περίπου το ένα τέταρτο των αιτημάτων διερεύνησης περιέχουν το Service Set Identifier (SSID) των δικτύων στα οποία είχαν συνδεθεί προηγουμένως οι συσκευές, το οποίο θα μπορούσε να χρησιμοποιηθεί για την αποκάλυψη διευθύνσεων σπιτιού ή τοποθεσιών επίσκεψης.
Επιπλέον, τα αιτήματα ανιχνευτή μπορούν να χρησιμοποιηθούν για «τριπλευρική μέτρηση της θέσης μιας συσκευής με ακρίβεια έως και 1,5 μέτρο» ή για την παρακολούθηση της κίνησης μιας συσκευής για ουσιαστική παρακολούθηση του ιδιοκτήτη τους, σημειώνουν οι ερευνητές.
«Αυτό στην πραγματικότητα χρησιμοποιείται ήδη στο 23% των καταστημάτων. Οι εταιρείες και οι πόλεις που πραγματοποιούν παρακολούθηση Wi-Fi λαμβάνουν τη νομική θέση ότι μόνο η διεύθυνση MAC που περιέχεται στα αιτήματα έρευνας θεωρείται προσωπικά δεδομένα σύμφωνα με το άρθρο 4 παράγραφος 1 του GDPR, το οποίο προστατεύει τα προσωπικά δεδομένα από παράνομη συλλογή και επεξεργασία», ανέφεραν οι ερευνητές στο το χαρτί.
Οι ακαδημαϊκοί ισχυρίζονται ότι τα στοιχεία που συλλέχθηκαν κατά τη διάρκεια ενός πειράματος του Νοεμβρίου 2021 που επικεντρώθηκε στην ανάλυση αιτημάτων διερεύνησης θα πρέπει να είναι αρκετά για να ληφθούν υπόψη προσωπικά δεδομένα αυτών των αιτημάτων, με βάση μόνο τα SSID που είναι αποθηκευμένα στις λίστες προτιμώμενων δικτύων των συσκευών (PNL).
Ως μέρος του πειράματος, οι ερευνητές πήγαν στον πεζόδρομο μιας γερμανικής πόλης και κατέγραψαν αιτήματα για ανιχνευτές σε διάστημα μιας ώρας, τρεις φορές, χρησιμοποιώντας έξι κεραίες εκτός ραφιού. Από τα 252.242 συνολικά αιτήματα που καταγράφηκαν, το 23,2% περιείχε SSID.
Οι ερευνητές ανακάλυψαν επίσης ότι ορισμένα από τα μεταδιδόμενα αιτήματα ανίχνευσης που περιείχαν SSID διέρρευσαν επίσης πληροφορίες κωδικού πρόσβασης και ότι περίπου το 20% των μεταδιδόμενων SSID ήταν πιθανώς τυπογραφικά λάθη του πραγματικού SSID.
Η ανάλυση των αιτημάτων έρευνας αποκάλυψε επίσης 106 διαφορετικά ονόματα ή/και επώνυμα, τρεις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τα SSID 92 διαφορετικών εξοχικών κατοικιών ή καταλυμάτων και το όνομα ενός τοπικού νοσοκομείου.
Οι ακαδημαϊκοί λένε ότι έτρεξαν όλα τα SSID μέσω του API αναζήτησης γεωγραφικής τοποθεσίας του WiGLE, το οποίο τους βοήθησε να εντοπίσουν τη θέση των πραγματικών δικτύων σε ακτίνα περίπου 1 χιλιομέτρου.
«Λαμβάνοντας υπόψη τον πλούτο των προσωπικών και ευαίσθητων πληροφοριών που παρατηρήσαμε στα πεδία SSID, μπορούν να αποτελέσουν πληροφορίες αναγνώρισης και επομένως απαιτούν τη δέουσα προσοχή», επισημαίνουν οι ερευνητές. «Υποστηρίζουμε ότι τουλάχιστον για όσο διάστημα εξακολουθούν να υπάρχουν συσκευές που εκπέμπουν SSID, τα αιτήματα διερεύνησης θα πρέπει να θεωρούνται προσωπικά δεδομένα και να μην χρησιμοποιούνται για παρακολούθηση χωρίς νομική βάση».