Исследователи из Университета Мэриленда Эрик Рэй и Дэйв Левин выявили серьёзные проблемы безопасности и конфиденциальности в системах геолокации Apple и Starlink. В ходе исследования стало ясно, что данные, которые компании собирают и публично делятся, могут использоваться для отслеживания местоположения миллиардов устройств по всему миру.
Apple собирает данные о точном местоположении всех Wi-Fi точек доступа, видимых её устройствами. Это позволяет устройствам компании предоставлять пользователям информацию о местоположении без постоянного обращения к GPS. Аналогичные системы работают и у Google. Оба гиганта фиксируют идентификаторы Wi-Fi точек доступа, такие как MAC-адреса (BSSID).
В отличие от Google, Apple возвращает геолокацию до 400 близлежащих BSSID, что позволяет устройствам определять своё местоположение на основе известных точек доступа. Этот объем данных позволил исследователям из Мэриленда отслеживать перемещение отдельных устройств в любой точке мира. Они запросили данные о более чем миллиарде случайно сгенерированных BSSID и получили информацию о 488 миллионах точек доступа.
Так, исследователи использовали полученные данные для мониторинга перемещений спутников Starlink. Каждое устройство Starlink оснащено собственной Wi-Fi точкой доступа, которая автоматически индексируется ближайшими устройствами Apple с включёнными службами геолокации.
Starlink отреагировал на исследование, внедрив программные обновления для рандомизации BSSID своих устройств по части повышения уровня приватности. Исследовав эти обновления, Левин и Рэй обнаружили значительное сокращение числа отслеживаемых устройств Starlink, что указывает на эффективность обновлений.
Apple также внесла изменения, обновив свою политику конфиденциальности в марте 2024 года, позволив пользователям отказаться от сбора данных о местоположении, добавив «_nomap» к имени своей точки доступа Wi-Fi. Эти изменения были внесены после того, как исследователи указали на отсутствие опций для отказа.
Исследователи предупреждают, что озвученные ими проблемы представляют риски для уязвимых групп населения, например, таких как спасающиеся от семейного насилия люди, и призывают Apple внедрить дополнительные меры для предотвращения злоупотреблений данными о местоположении. Они также отметили, что мобильные точки доступа, которые рандомизируют BSSID, не представляют таких же угроз для приватности, как стационарные точки доступа Wi-Fi.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.