Coś dla tropicieli: losowość adresów MAC w Androidzie nic nie warta

Coś dla tropicieli: losowość adresów MAC w Androidzie nic nie warta

Coś dla tropicieli: losowość adresów MAC w Androidzie nic nie warta
Mariusz Błoński
24.03.2017 10:32

Wraz z rozpowszechnieniem się smartfonów wzrosło ryzyko, że cyberprzestępcy wezmą te urządzenia na celownik. Dlatego też na początku 2015 roku do Androida trafiła nowa funkcja, której zadaniem jest utrudnienie śledzenia smartfonu w czasie (i świecie) rzeczywistym. Najnowsze analizy pokazują jednak, że zdecydowana większość modeli telefonów z Androidem nie korzysta z tego zabezpieczenia, a tam, gdzie jest ono używane, bardzo łatwo je ominąć.

Mowa tutaj o zabezpieczeniu adresu MAC urządzenia. Do niedawna jeszcze fakt, że nasze domowe urządzenia, łącząc się z siecią, przesyłają adres MAC, nie stanowił większego problemu. Wszystko zmieniło się wraz z epoką smartfonów. Wiele osób nie może obyć się bez połączenia z internetem, dlatego też w ich smartfonach bez przerwy włączona jest obsługa Wi-Fi, a telefony, poszukując punktów dostępu, rozgłaszają swój adres MAC.

Jako, że jest on unikatowy dla każdego urządzenia, pozostawione ślady pozwalają na zidentyfikowanie właściciela. A to oznacza, że interesujący się nami przestępca może dowiedzieć się, w jakich godzinach wychodzimy z domu, jaką trasą udajemy się do pracy czy szkoły, jak długo tam przebywamy, kiedy wracamy, gdzie zaglądamy po drodze, w jakich barach i kiedy lubimy spędzać czas. Może poznać dość szczegółowy rozkład naszego dnia, a że większość z nas ma jednak pewne stałe zajęcia i obowiązki i przez większość czasu trzymamy się stałych schematów, przestępcy wiele mogą się o nas dowiedzieć właśnie dzięki MAC smartfonu.

Inżynierowie Apple'a i Google'a wzięli to pod uwagę i postanowili nam pomóc. Opracowali technologię, w ramach której smartfony w sposób losowy (no dobrze, pseudolosowy) zmieniają MAC poszukując punktów dostępu. W ten sposób powinno zidentyfikowanie konkretnego urządzenia powinno stać się jeśli nie niemożliwe, to znacznie trudniejsze. Technologię randomizacji MAC wprowadziło jako pierwsze Apple, a kilka miesięcy później, w marcu 2015 roku została ona w pełni zaimplementowana w Androidzie.

Implementacja przez ludzi, którzy nie rozumieją o co chodzi?

W pełni? Okazuje się jednak, że do dziś na Androidzie technologia ta praktycznie nie istnieje. Badacze US Naval Academy opublikowali artykuł pt. A Study of MAC Address Randomization in Mobile Devices and When it Fails, w którym podsumowali wyniki przeprowadzonych w tej kwestii badań. Wykazali że wśród 960 tys. urządzeń z Androidem przeskanowanych w ciągu dwóch lat, od 30 do 60 tys. z różną skutecznością korzystało z randomizacji adresu MAC.

Przeprowadzone ataki derandomizacji pokazały, że zbyt często producenci wykorzystują unikatowe dla siebie prefiksy w adresach, niepotrzebnie też uaktywniają wsparcie dla Wi-Fi Protected Setup (WPS), co dodaje do wysyłanych żądań dodatkowe pola ułatwiające identyfikację urządzenia. Najlepiej o anonimowość dbały urządzenia z standardowym prefiksem Google (DA:A1:19), zwykle właśnie z wyłączonym WPS.

Odporne, ale nie do końca

Na tej liście najsprawniej sobie radzących smartfonów znalazły się:

BlackBerry: STV100-1, STV100-2, STV100-3, STV100-4, Google: Pixel C i Pixel XL, HTC 2PS650, Nexus 9, Huawei EVA-AL00, EVA-AL10, EVA-DL00, EVA-L09, EVA-L19, KNT-AL20, Nexus 6P, NXT-AL10, NXT-L09, NXT-L29, VIE-AL10, LG H811,Sony 402SO, 501SO, E5803, E5823, E6533, E6553, E6633, E6653, E6683, E6853, E6883, F5121, F5321, SGP712, SGP771, SO-01H, SO-02H, SO-03G, SO-03H, SO-05G, SOV31 oraz SOV32

Niektóre media wspominają jeszcze o telefonie CAT S60, który miałby bezbłędnie randomizować adresy MAC, ale nie wynika to raczej ze źródłowego artykułu: telefon ten trafił po prostu do unikatowej kategorii spośród wykrytych urządzeń, nie zawierającej żadnego innego modelu, a przecież chodzi o to, by nie być unikatowym.

I wszystko wskazuje na to, że problem nie leży w teoretycznych założeniach tej technologii, bo wszystkie badane urządzenia z iOS-em bardzo dobrze randomizowały swoje adresy – do momentu wprowadzenia iOS-a 10, który popsuł sprawę, wprowadzając unikatowe dla Apple opcjonalne pola 802.11 Information Elements.

Nasze badania niosą dwie ważne informacje dla przeciętnego użytkownika: 1) okazuje się, że większość androidowych smartfonów nie korzysta z tej technologii, pomimo tego, że używana przez nie wersja systemu operacyjnego pozwala na jej uruchomienie, 2) w jej implementacji istnieje bardzo wiele słabych punktów, które pozwalają ominąć to zabezpieczenie. Pozostawia to użytkownika w fałszywym poczuciu bezpieczeństwa, gdyż myśli on, że technologia chroni go przed śledzeniem, podczas gdy tak nie jest – napisał profesor Travis Mayberry, jeden z autorów artykułu.

Największy problem z telefonami, w których zastosowano randomizację polega na tym, że regularnie rozgłaszają swój prawdziwy adres MAC, nawet jeśli nie nawiązały połączenia z punktem dostępu, któremu go wysłały. Co gorsza, adres MAC jest udostępniany na zewnątrz nawet wówczas, gdy użytkownik wyłączy Wi-Fi. Dzieje się tak wówczas, gdy włączone są usługi lokalizacji bazujące na Wi-Fi.

I tak wycieka, owiń go grubo aluminiową folią

Badacze zauważyli jeszcze jedno naruszenia zasad bezpieczeństwa. Nawet jeśli telefon z Androidem nie wysyła swojego prawdziwego adresu MAC, to przesyła tak dużo informacji na swój temat, że bez problemu można go zidentyfikować w grupie innych telefonów. Szczegółowe badania pokazały, że nawet jeśli telefon używa randomizacji, to inne przesyłane dane pozwalają jednoznacznie zidentyfikować urządzenie w 96% przypadków.

Innym sposobem na ominięcie randomizacji jest wykorzystanie ataku Karma. Napastnik może podczas niego użyć punktu dostępowego o takim samym SSID co punkt dostępu, z którym domyślnie łączy się smartfon. Jako, że randomizacja automatycznie zostaje wyłączona w momencie połączenia się z punktem dostępu, napastnik może w ten sposób poznać prawdziwy MAC urządzenia.

Producenci smartfonów muszą jeszcze wiele się nauczyć. Ich urządzenia są używane przez coraz więcej osób i spełniają coraz więcej funkcji. Nic zatem dziwnego, że coraz częściej są atakowane. Komputery stacjonarne są używane od dziesiątków lat, ich producenci oraz producenci oprogramowania dla nich mają więc olbrzymie doświadczenie w walce z cyberprzestępcami, a mimo pecety nie są całkowicie bezpieczne. Nie powinniśmy się zatem dziwić, że i w smartfonach są i będą pojawiały się mniejsze lub większe problemy z bezpieczeństwem.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (12)