Coś dla tropicieli: losowość adresów MAC w Androidzie nic nie warta

Coś dla tropicieli: losowość adresów MAC w Androidzie nic nie warta24.03.2017 10:32
Mariusz Błoński

Wraz z rozpowszechnieniem się smartfonów wzrosło ryzyko, że cyberprzestępcy wezmą te urządzenia na celownik. Dlatego też na początku 2015 roku do Androida trafiła nowa funkcja, której zadaniem jest utrudnienie śledzenia smartfonu w czasie (i świecie) rzeczywistym. Najnowsze analizy pokazują jednak, że zdecydowana większość modeli telefonów z Androidem nie korzysta z tego zabezpieczenia, a tam, gdzie jest ono używane, bardzo łatwo je ominąć.

Mowa tutaj o zabezpieczeniu adresu MAC urządzenia. Do niedawna jeszcze fakt, że nasze domowe urządzenia, łącząc się z siecią, przesyłają adres MAC, nie stanowił większego problemu. Wszystko zmieniło się wraz z epoką smartfonów. Wiele osób nie może obyć się bez połączenia z internetem, dlatego też w ich smartfonach bez przerwy włączona jest obsługa Wi-Fi, a telefony, poszukując punktów dostępu, rozgłaszają swój adres MAC.

Jako, że jest on unikatowy dla każdego urządzenia, pozostawione ślady pozwalają na zidentyfikowanie właściciela. A to oznacza, że interesujący się nami przestępca może dowiedzieć się, w jakich godzinach wychodzimy z domu, jaką trasą udajemy się do pracy czy szkoły, jak długo tam przebywamy, kiedy wracamy, gdzie zaglądamy po drodze, w jakich barach i kiedy lubimy spędzać czas. Może poznać dość szczegółowy rozkład naszego dnia, a że większość z nas ma jednak pewne stałe zajęcia i obowiązki i przez większość czasu trzymamy się stałych schematów, przestępcy wiele mogą się o nas dowiedzieć właśnie dzięki MAC smartfonu.

Inżynierowie Apple'a i Google'a wzięli to pod uwagę i postanowili nam pomóc. Opracowali technologię, w ramach której smartfony w sposób losowy (no dobrze, pseudolosowy) zmieniają MAC poszukując punktów dostępu. W ten sposób powinno zidentyfikowanie konkretnego urządzenia powinno stać się jeśli nie niemożliwe, to znacznie trudniejsze. Technologię randomizacji MAC wprowadziło jako pierwsze Apple, a kilka miesięcy później, w marcu 2015 roku została ona w pełni zaimplementowana w Androidzie.

Implementacja przez ludzi, którzy nie rozumieją o co chodzi?

W pełni? Okazuje się jednak, że do dziś na Androidzie technologia ta praktycznie nie istnieje. Badacze US Naval Academy opublikowali artykuł pt. A Study of MAC Address Randomization in Mobile Devices and When it Fails, w którym podsumowali wyniki przeprowadzonych w tej kwestii badań. Wykazali że wśród 960 tys. urządzeń z Androidem przeskanowanych w ciągu dwóch lat, od 30 do 60 tys. z różną skutecznością korzystało z randomizacji adresu MAC.

Przeprowadzone ataki derandomizacji pokazały, że zbyt często producenci wykorzystują unikatowe dla siebie prefiksy w adresach, niepotrzebnie też uaktywniają wsparcie dla Wi-Fi Protected Setup (WPS), co dodaje do wysyłanych żądań dodatkowe pola ułatwiające identyfikację urządzenia. Najlepiej o anonimowość dbały urządzenia z standardowym prefiksem Google (DA:A1:19), zwykle właśnie z wyłączonym WPS.

Odporne, ale nie do końca

Na tej liście najsprawniej sobie radzących smartfonów znalazły się:

BlackBerry: STV100-1, STV100-2, STV100-3, STV100-4, Google: Pixel C i Pixel XL, HTC 2PS650, Nexus 9, Huawei EVA-AL00, EVA-AL10, EVA-DL00, EVA-L09, EVA-L19, KNT-AL20, Nexus 6P, NXT-AL10, NXT-L09, NXT-L29, VIE-AL10, LG H811,Sony 402SO, 501SO, E5803, E5823, E6533, E6553, E6633, E6653, E6683, E6853, E6883, F5121, F5321, SGP712, SGP771, SO-01H, SO-02H, SO-03G, SO-03H, SO-05G, SOV31 oraz SOV32

Niektóre media wspominają jeszcze o telefonie CAT S60, który miałby bezbłędnie randomizować adresy MAC, ale nie wynika to raczej ze źródłowego artykułu: telefon ten trafił po prostu do unikatowej kategorii spośród wykrytych urządzeń, nie zawierającej żadnego innego modelu, a przecież chodzi o to, by nie być unikatowym.

I wszystko wskazuje na to, że problem nie leży w teoretycznych założeniach tej technologii, bo wszystkie badane urządzenia z iOS-em bardzo dobrze randomizowały swoje adresy – do momentu wprowadzenia iOS-a 10, który popsuł sprawę, wprowadzając unikatowe dla Apple opcjonalne pola 802.11 Information Elements.

Nasze badania niosą dwie ważne informacje dla przeciętnego użytkownika: 1) okazuje się, że większość androidowych smartfonów nie korzysta z tej technologii, pomimo tego, że używana przez nie wersja systemu operacyjnego pozwala na jej uruchomienie, 2) w jej implementacji istnieje bardzo wiele słabych punktów, które pozwalają ominąć to zabezpieczenie. Pozostawia to użytkownika w fałszywym poczuciu bezpieczeństwa, gdyż myśli on, że technologia chroni go przed śledzeniem, podczas gdy tak nie jest – napisał profesor Travis Mayberry, jeden z autorów artykułu.

Największy problem z telefonami, w których zastosowano randomizację polega na tym, że regularnie rozgłaszają swój prawdziwy adres MAC, nawet jeśli nie nawiązały połączenia z punktem dostępu, któremu go wysłały. Co gorsza, adres MAC jest udostępniany na zewnątrz nawet wówczas, gdy użytkownik wyłączy Wi-Fi. Dzieje się tak wówczas, gdy włączone są usługi lokalizacji bazujące na Wi-Fi.

I tak wycieka, owiń go grubo aluminiową folią

Badacze zauważyli jeszcze jedno naruszenia zasad bezpieczeństwa. Nawet jeśli telefon z Androidem nie wysyła swojego prawdziwego adresu MAC, to przesyła tak dużo informacji na swój temat, że bez problemu można go zidentyfikować w grupie innych telefonów. Szczegółowe badania pokazały, że nawet jeśli telefon używa randomizacji, to inne przesyłane dane pozwalają jednoznacznie zidentyfikować urządzenie w 96% przypadków.

Innym sposobem na ominięcie randomizacji jest wykorzystanie ataku Karma. Napastnik może podczas niego użyć punktu dostępowego o takim samym SSID co punkt dostępu, z którym domyślnie łączy się smartfon. Jako, że randomizacja automatycznie zostaje wyłączona w momencie połączenia się z punktem dostępu, napastnik może w ten sposób poznać prawdziwy MAC urządzenia.

Producenci smartfonów muszą jeszcze wiele się nauczyć. Ich urządzenia są używane przez coraz więcej osób i spełniają coraz więcej funkcji. Nic zatem dziwnego, że coraz częściej są atakowane. Komputery stacjonarne są używane od dziesiątków lat, ich producenci oraz producenci oprogramowania dla nich mają więc olbrzymie doświadczenie w walce z cyberprzestępcami, a mimo pecety nie są całkowicie bezpieczne. Nie powinniśmy się zatem dziwić, że i w smartfonach są i będą pojawiały się mniejsze lub większe problemy z bezpieczeństwem.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na