Appleの「探す」で利用されるWi-Fi測位システムを悪用すると簡単に位置情報の追跡が可能になるとの指摘
「モバイルデバイス」と「Wi-Fiのアクセスポイント」をランドマークとして使用し、三角測量でデバイスの位置を特定するというのが「Wi-Fi Positioning Systems」(WPS:Wi-Fi測位システム)です。AppleのWPSが悪用され、世界規模でプライバシーの脅威となる可能性をメリーランド大学のエリック・ライ氏とデイブ・レビン氏が指摘しました。
[2405.14975] Surveilling the Masses with Wi-Fi-Based Positioning Systems
Surveilling the Masses with Wi-Fieplaced-Based Positioning Systems Geolocation Services
https://arxiv.org/html/2405.14975v1
モバイルデバイスは位置情報サービスだけでなく、紛失や盗難の際にデバイスを追跡するためにも、頻繁かつ正確にデバイスの位置情報を利用するケースが多くなっています。その最たる例が、Appleデバイスの「探す」サービスです。GPSは電力消費が多いため、このような頻繁に位置情報を確認する際に用いるには不向きとされています。そのため、AppleおよびGoogleはWPSを用いてモバイルデバイスの位置情報を追跡しています。
より具体的に説明すると、モバイルデバイスはGPSを利用して位置情報を確認し、観測したWi-FiアクセスポイントのMACアドレス(BSSID)とGPS座標を定期的にWPSに報告。WPSは報告されたBSSIDをサーバーに保存し、GPSを使用できないあるいは使用したくないタイミングでサーバーにクエリを送信し、BSSIDのセットを提供することでデバイスのおおよその位置情報を「GPSを利用せずに正確に」把握することができるようになっています。
しかし、一般的なWPS(AppleやGoogleを含む)は誰でもアクセス可能となっており、データベースを照会するデバイスが「どのBSSIDを検出したか」を証明する必要もありません。つまり、デバイスはWPSに対して任意のBSSIDを照会することが可能であり、照会したBSSIDがWPSのデータベースに存在すれば、その位置情報を通知してしまう設計になっているわけです。これについて研究グループは「権限を持たない弱い攻撃者でも、AppleのWPSを利用することで、事前の知識なしに事実上世界中のどこでもユーザーのWi-Fiアクセスポイントを大規模に監視することができてしまいます」と指摘しました。
WPSの既存の設計について、研究グループは「個別標的型攻撃に適している」と指摘。例えば、親密なパートナーから暴力を受けた被害者が非公開の場所に引っ越した場合、元パートナーは被害者のWi-Fiアクセスポイント(あるいは旅行用モデムやWi-Fi対応テレビなど)のBSSIDを認識していれば、WPSに位置情報を問い合わせることで、被害者の引っ越し先を特定することが可能になります。このような個別標的型攻撃は、攻撃者が標的について事前に知識を持っている必要があるため、「潜在的な脅威は限定的である」と研究グループは指摘しています。
ライ氏とレビン氏は1年以上にわたってこの手法について研究を行っており、世界中の20億を超えるBSSIDの正確な位置を把握することに成功したと報告しています。
なお、研究グループはWPSの脆弱性を制限するために実行可能な手段として、「WPSオペレーターはAPIへのアクセスを制限できるため、政府は国民のデバイスが地理的位置情報のランドマークとして使用されないように法律で定めることができ、追跡を警戒するユーザーは複数の場所で同じWi-Fiアクセスポイントを使用しないようにすること」を挙げています。
さらに堅牢な解決策としては、「モバイルデバイスに実装されているものと同じプライバシー保護をWi-Fiアクセスポイントに実装すること」が挙げられています。これにより、起動時またはデバイスの場所が変わるたびにBSSIDをランダム化することが可能となり、WPSオペレーターがAPIへのオープンアクセスを許可している場合でも、ユーザー追跡を防止することが可能となるそうです。