苹果定位服务被滥用-或者泄露部队行迹信息

IT之家5月25日信息，安保博客KrebsonSecurity本月颁布博文，示意苹果公司的定位服务存在被滥用危险，经过”窃取”WPS数据库，可以定位部队行迹

相关背景常识

手机定位诚然关键依赖卫星定位，不过在市区地域，密集的高楼会造成移动设施难以接纳卫星的强劲信号，因此移动设施在这种场景中会依赖基于Wi-Fi的定位系统（WPS）。

WPS经常使用一个蕴含近5亿台Wi-Fi路由器的环球数据库。最关键的是，这不只仅是他们能实践访问的公共路由器，而且他们能看到的一切BSSID，这也包括很多家庭中的Wi-Fi路由器。

设施不可访问你的路由器，但它们可以检测到路由器并查问数据库，找前途由器确实切位置。这些数据库是由到处行驶的汽车创立的，它们经常使用多种方法跟踪自己的位置，并搜集BSSID，而后将其与这些位置启动婚配。

IT之家注：制作商设置的BSSID与用户选用的路由器SSID不同，便捷来说可以将其视为路由器中无线网卡的MAC地址。

苹果和谷歌都有自己的WPS数据库，它们经常使用的方法基本相反。检测左近的BSSID，测量每个信号的强度，而后将这些数据与WPS数据库启动比拟，找出移动设施的位置。

谷歌定位方式

安卓手时机记载它能看到的BSSID及其信号强度，并将数据发送到谷歌主机，主机经常使用WPS数据库计算手机的位置，并将其发送给手机。

苹果定位方式

苹果的WPS还接受左近BSSID的列表，不是依据观察到的接入点及其接纳到的信号强度来计算设施的位置，而是苹果经过API前往最多400个BSSID的天文位置，而后经常使用其中大概8个BSSID依据已知地标确定用户的位置。

从实质上讲，谷歌的WPS可以计算用户的位置，并与设施共享。苹果的WPS为其设施提供了足够多的无关该地域已知接入点位置的数据，设施可以自前启动预算。

苹果定位方式破绽

马里兰大学的钻研人员示意可以应用苹果公司API的简短性能，绘制出单个设施进入环球上简直任何指定区域的移动地图。

马里兰大学的这对钻研人员说，他们在钻研初期花了一个月的期间始终查问API，征询随机生成的十亿多个BSSID的位置。

在这些随机生成的BSSID中，只要约300万个是苹果公司的Wi-Fi天文定位API所知道的，但苹果公司还前往了另外4.88亿个BSSID位置，这些位置曾经经过其余查问存储在其WPS中。

钻研人员说，经过归零（zeroing）或天文围栏苹果公司位置API索引的其余较小区域，他们可以监控Wi-Fi接入点随着期间的推移是如何移动的。

这个疑问在实践层面或者会是个大疑问，团队可以对俄乌抵触区域启动定位，能确认乌克兰和俄罗斯军队经常使用的星链设施的位置和移动状况。