路由器的确切位置可通过全球 Wi-Fi 地理位置数据库公开获得。让我们探讨一下为什么这是必要的,以及它带来的风险以及如何减轻这些风险。
每当有人使用启用了 GPS 的智能手机经过您的 Wi-Fi 接入点附近时,您的路由器的大致地理坐标都会上传到 Apple、Google 和其他科技巨头的数据库中。这是 Wi-Fi 定位系统 (WPS) 的一个组成部分。为了让你的路由器最终进入这个数据库,你甚至不需要自己拥有一部智能手机——邻居或路人拥有一部就足够了。
WPS 使您能够在打开地图应用程序时几乎立即看到您的位置。依靠来自卫星的“纯”GPS数据需要几分钟。您的智能手机会检查附近的Wi-Fi接入点,将列表发送给Google或Apple,并接收其计算坐标(来自Google)或路由器坐标列表(来自Apple)以计算自己的位置。
即使是没有 GPS 的设备,例如笔记本电脑,也可以使用这种类型的地理定位。正如麻省理工学院的研究人员所发现的那样,苹果对接入点坐标的请求施加了最小的限制,这使得您可以创建自己的全球路由器地图并使用它来寻找有趣的现象和模式,甚至跟踪个人。
1
路由器监控的固有风险是什么?
虽然路由器的大致物理位置可能看起来不是特别机密的数据,特别是对于居住在您所在地区的人来说,但在某些情况下,最好隐藏这些信息。以下是几个示例:
• 使用卫星互联网终端时,例如 Starlink。它们通过 Wi-Fi 提供互联网访问,跟踪终端等于跟踪用户的位置。当在军事冲突或紧急地区使用终端时,这一点尤其敏感。
• 使用移动热点进行商务和旅行时。如果您发现从移动路由器到笔记本电脑和其他设备共享互联网很方便,那么您的袖珍热点可能会陪伴您出差。这创造了监控您的旅行时间表、频率和方向的机会。这同样适用于安装在房车和游艇上的热点。
• 当人们搬家时。通常,路由器会随着其所有者移动,向以前连接到其 Wi-Fi 的任何人显示他们的新地址——甚至之前只连接过一次。虽然这通常是无害的,但对于那些为了逃避骚扰、家庭暴力或其他严重问题而搬迁的人来说,这可能是个问题。
2
WPS跟踪的局限性
这些都是合理的担忧,但有一个好消息:WPS跟踪不如其他监视方法准确和缓慢。
首先,要将路由器添加到WPS数据库中,必须在一段时间内在同一区域一致地检测到它。麻省理工学院的研究人员发现,新路由器需要两到七天的时间才能出现在WPS数据库中。如果您短时间使用移动路由器去某个地方,则此移动不太可能记录在数据库中。
其次,路由器必须由几部具有激活地理定位服务的智能手机扫描才能包含在 WPS 数据库中。因此,安装在孤立或无人居住区域的路由器可能永远不会出现在地图上。
第三,路由器的识别和进一步跟踪依赖于BSSID,即接入点广播的标识符。Wi-Fi 标准允许 BSSID 随机化,如果启用此功能,标识符会以特定时间间隔自动更改。这不会干扰连接到接入点的设备的正常运行,但确实会使重新识别路由器变得更加困难。就像 Android、iOS 和 Windows 中的专用 MAC 地址设置降低了跟踪客户端设备的风险一样,BSSID 随机化使跟踪接入点变得更加困难。
3
如何保护您的路由器免受WPS跟踪
Apple 和 Google 都有一个鲜为人知的工具,允许您从 WPS 数据库中排除接入点。为此,请将后缀_nomap添加到接入点名称的末尾。例如,接入点 MyHomeWifi 应重命名为 MyHomeWifi_nomap。
对于家庭和办公室路由器,额外的安全措施是从提供商处租用设备,而不是购买自己的设备。然后,每当您搬家时,您只需将其归还并在新位置租用新路由器即可。
一个技术更先进的解决方案,虽然实施起来更复杂,但使用支持BSSID随机化的路由器 - 例如来自具有开源固件的超级网络的路由器。流行的路由器替代固件 DD-WRT 也允许 BSSID 随机化(如果硬件支持)。
对于使用智能手机作为接入点的用户,我们建议查看设备设置。在 Apple 设备上,为您的热点启用 BSSID 随机化并不是很简单——个人热点设置中没有直接这样的开关。但是,如果至少为某些 Wi-Fi 网络启用了专用 Wi-Fi 地址功能(“设置”→“Wi-Fi”→点击已连接的 Wi-Fi 网络的名称→启用“专用 Wi-Fi 地址”),则您的热点将开始随机化接入点的 BSSID。此功能偶尔也可以在 Android 智能手机上找到,尽管激活过程因制造商而异。
根据 Starlink 的说法,自 2023 年初以来,他们的终端也逐渐收到了自动激活 BSSID 随机化的软件更新。
原文始发于微信公众号(卡巴斯基网络安全大百科):如何防止您的路由器被监视
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论