وبلاگ کسپرسکی آنلاین | Wi-Peep: راهی برای ردیابی لوکیشن دستگاه‌های وای‌فای وایرلس

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در نوامبر 2022 محققین دانشگاه‌های آمریکا و کانادا با استفاده از تجهیزات ارزان که راحت هم پیدا می‌شود متودی برای پیدا کردن موقعیت مکانیِ دستگاه‌های وای‌فای نشان دادند. حمله اثبات مفهوم Wi-Peep نام دارد زیرا می‌تواند دستگاه‌هایی را که از طریق وای‌فای با هم ارتباط دارند مخفیانه زیر نظر بگیرد. این تحقیق ابعادی از برخی قابلیت‌های شبکه‌های وای‌فای و نیز ریسک‌های احتمالیِ موقعیت‌یابی دستگاه را روشن می‌کند. ابتدا باید بگوییم این ریسک‌ها خیلی بالا نیستند- حمله بیشتر به چیزی مانند حملاتی است که در فیلم‌های جیمز باند می‌بینیم! اما این از جذابیت تحقیق تازه‌انجام‌شده‌ی محققین کم نمی‌کند.

قابلیت‌های حمله Wi-Peep

پیش از بررسی جزء به جزء گزارش بگذارید ابتدا حمله‌ای واقع‌گرایانه را در نظر بگیریم: مهاجمین یک کوادکوپتر مینی را با ارزان‌ترین میکروکامپیوتر سوار‌شده رویش به هوا می‌فرستند تا دور و بر ساختمان بگردد و اطلاعات جمع کند تا در نهایت نقشه‌ای از دستگاه‌های وایرلس را با دقت قابل‌قبولی بدست آورد (±1.5 متر تحت شرایط ایده‌آل) اما هدف این کار چیست؟ بسیارخوب، بگذارید اینطور تصور کنیم که بانک یا لابراتواری فوق محرمانه وجود دارد که سیستم‌های امنیتی‌اش به ماژول‌های وای‌فای مجهزند. و این جواب «سوال»: لوکیشن آن‌ها می‌تواند به شدت مورد علاقه مهاجمینی باشد که برای نفوذ فیزیکی دارند برنامه‌ریزی کرده‌اند.

چرا محققین چیزی شبیه به این را دارند تقلید می‌کنند؟

حمله Wi-Peep دو قابلیت مهم هر دستگاه وای‌فای را اکسپلویت می‌کند؛ از ماژول‌های وایرلس قدیمی 20 سال پیش گرفته تا مدرن‌ترینشان. اولی، مکانیزم ذخیره باتری در دستگاه‌های وای‌فای است. ماژول وای‌فای فرضاً در یک اسمارت‌فون می‌تواند با خاموش کردن رسیور وایرلس برای دوره‌های کوتاه زمانی باتری را ذخیره کند. یک نقطه دسترسی وایرلس باید این حالت عملکردی را در نظر بگیرد: روتر شما می‌تواند پکت‌های داده را برای یک دستگاه خاص جمع‌آوری کند و سپس وقتی سیگنال می‌دهد که باری دیگر برای دریافت انتقال داده آماده است به طور یکجا همه را انتقال می‌دهد. برای یک حمله موفق، جاسوس احتمالی باید به فهرستی از آدرس‌های MAC–آی‌دی‌های منحصر به فرد دستگاه که لوکیشن‌هایشان بعداً تعیین می‌شود- دست یابد. دستگاه‌هایی که در همان خانه یا هتل هستند معمولاً به شبکه وای‌فای مشترک –که نامشان دیگر یک راز نیست-وصل می‌شوند. محققین به این نتیجه رسیدند که امکان ارسال پکت داده تقلبی –ظاهراً از همین شبکه مشترک وایرلس- وجود دارد. بدین‌ترتیب همه دستگاه‌های متصل باخبر می‌شوند که بافر نقطه دسترسی یک سری داده که مخصوص آن‌هاست جمع کرده است. در پاسخ به این سیگنال، دستگاه‌ها پاسخ‌هایی را ارسال می‌کنند که پس از تجزیه و تحلیل، آدرس‌های MAC منحصربه‌فرد همه دستگاه‌های شبکه تقریباً بلافاصله آشکار می‌شوند.

اما یک راه ساده تر وجود دارد: استراق سمع ترافی رادیو. اما این کار زمان بیشتری می‌برد: طبق گفته محققین، باید داده را در حالت غیرفعال به مدت 12 ساعت جمع‌آوری کنید. قابلیت اکسپلویت‌پذیر دوم برای تبادل داده وایرلس موقتاً Wi-Fi Polite نام گرفت. این نام را نویسندگان تحقیقات اولیه در سال 2020 انتخاب کردند. بطور خلاصه، جوهره‌ی این قابلیت به شرح زیر است:

یک دستگاه وایرلس همیشه به درخواست آدرس از دستگاه دیگر پاسخ می‌دهد حتی اگر به شبکه وای‌فای مشترک وصل نشده باشد و حتی اگر درخواست رمزگذاری نشده باشد یا بدفرم باشد. در واکنش، ماژول وای‌فای هم تأییده‌ی ساده‌ای می‌فرستند (داده از سمت شما دریافت شد) اما همین کافی است برای تعیین فاصله تا دستگاه پاسخ‌دهنده! زمان پاسخ برای دریافت چنین پکتی به شدت تنظیم‌شده است و هر 10 میکروثانیه رخ می‌دهد. مهاجم احتمالی می‌تواند زمان بین ارسال درخواست و دریافت پاسخ را اندازه‌گیری کند، آن‌ 10 میکروثانیه‌ها را کم کند و مدت زمانی را که نیاز بوده سیگنال رادیو به دستگاه برسد بدست آورد. این محاسبه از چه جهت اهمیت دارد؟

با گشتن به دور یک دستگاه بی‌سیم ثابت می‌توان مختصات آن را با درجه دقت بالا تعیین کرد (لوکیشن خودمان و فاصله‌مان با ابژه مورد نظر). این تحقیق بیشتر برای فائق آمدن بر سختی‌های این متود برنامه‌ریزی شده است. سیگنال از سمت فرستنده رادیویی وای‌فای مدام با دیوارها و سایر موانع منعکس می‌شود و همین شاید محاسبه مسافت را کمی سخت کند. در حقیقت، زمان پاسخ استاندارد باید 10 میکروثانیه باشد اما در واقع این بازه زمانی دستگاه به دستگاه فرق دارد- دامنه بین 8 تا 13 میکروثانیه. دقت ژئولوکیشن ماژول وای‌فای مهاجمین خود نیز اثری به همراه دارد: در تحقیقات انجام‌شده معلوم شده دقت سیستم‌های ژئوپوزیشنینگ (GPS، GLONASS و غیره) همیشه هم کافی نیست.

گرچه داده‌های حاصله، حاوی کلی نویز هستند اما اگر اندازه‌گیری‌ها کافی و درست باشند می‌توان به دقت بالا و قابل‌قبولی رسید. این یعنی اگر ده‌ها هزار بارتحقیق کرده باشید در نهایت دقت موقعیت‌یابی به خطای دامنه 1.26 تا 2.30 متر می‌رسد- آن هم در حالت افقی. در حالت عمود، محققین توانستند در 91 درصد موارد طبقه مورد نظر را پیدا کنند اما این درصد هرگز بیشتر نشده.

حمله پیچیده با هزینه کم

گرچه سیستم تعیین مختصات دستگاه‌های وایرلس چندان دقیق هم از آب درنیامدند اما هنوز هم مورد علاقه‌اند- تا حدی به دلیل اینکه این تجهیزات که محققین استفاده کردند ارزان بودند. به لحاظ تئوریک، حمله با حضور یک جاسوس احتمالی هم قابل‌انجام است (صرفاً با گشتن به دور ابژه‌ی مورد هدف). محققین برای راحتی بیشتر از یک کوادکاپتر ارزان هم که درش میکروکامپیوتری تعبیه شده بود استفاده کردند (این میکروکامپیوتر مبتنی بر یک تراشه ESP32 و ماژول وایرلس بود). هزینه کلی چنین کیتی کمتر از 20 دلار آمریکا شد! (جدای هزینه خود کوادکاپتر). تازه، این حمله را نمی‌شود روی دستگاه قربانی ردیابی کرد. در این حمله از قابلیت‌های استاندارد ماژول‌های وای‌فای که نمی‌توانند غیرفعال شوند یا دست‌کم به لحاظ رفتاری دستکاری گردند استفاده می‌شود. اگر ارتباط بین دستگاه قربانی و میکروکامپیوتر مهاجمین به لحاظ اصولی درست باشد، حمله قطعاً اجرایی خواهد بود. دامنه اجرایی انتقال داده از طریق وای‌فای ده‌ها متر است که در بسیاری از موارد کفایت خواهد کرد.

مفاهیم گُنگ

اگر فرض را بر آن بگیریم که حمله در زندگی واقعی قابل‌اجرا است، آیا داده‌های بدست‌آمده به درد خواهند خورد؟ محققین برای این سوال چند سناریو پیشنهاد می‌دهند: اولین نکته که واضح‌ترین هم هست این است که اگر آدرس MAC اسمارت‌فون فردی خاص را بدانیم می‌توانیم تقریباً حرکاتشان را در مکان‌های عمومی ردیابی کنیم. اگر اسمارت‌فونشان به هیچ شبکه وایرلسی در زمان حمله وصل نباشد امکانپذیر است. دوم اینکه ایجاد نقشه دستگاه‌های وایرلس در ساختمانی امن (دفتر یک رقیب، ساختمان‌های بانکی) برای حمله فیزیکی بعدی یک سناریوی تماماً واقع‌گرایانه است. برای مثال مهاجمین می‌توانند لوکیشن تقریبی دوربین‌های نظارتی را اگر اینها برای انتقال داده از وای‌فای استفاده کنند تعیین کنند.

همچنین در خصوص جمع کردن چنین داده‌هایی شاید مزیت‌های کمتر واضحی وجود داشته باشد. شما می‌توانید برای مثال در مورد تعداد دستگاه‌های وای‌فای هتل برای تخمین زدن اینکه چند مهمان آنجا هست استفاده کنید. چنین داده‌های برای هتل‌های رقیب بسیار مفیدند. یا دانستن تعداد دستگاه‌های وایرلس می‌تواند به این کمک کند که بفهمیم آیا قربانیان احتمالی خانه هستند یا نه. حتی خود آدرس‌های MAC–بدون مختصات- به کار می‌آیند: برای جمع‌آوری آمار در مورد کارکرد اسمارت‌فون‌ها در مکان عمومی. افزون بر ماجرای جاسوسی و سرقت، چنین متودهایی برای حریم خصوصی افراد نیز تهدید به حساب می‌آیند. با این حال، خطر اینکه چنین متودی بخواهد در دنیای واقعی اجرایی شود هنوز خیلی کم است. این روی همه حملات احتمالی و متودهای جمع‌آوری داده که باید به ابژه مورد هدف بسیار نزدیک شوند صدق می‌کند.

یک دلیلش این است که چنین حملاتی را نمی‌شود در ابعاد بزرگ اجرایی کرد؛ حملاتی که مقیاس گسترده دارند کاراتر هستند. در عین حال، تحقیقات علمی به درک چگونگی استفاده از ویژگی‌های جزئی فناوری‌های پیچیده برای اهداف مخرب کمک می‌کند. خود محققین خاطرنشان می‌کنند که سود واقعی کار آنها در صورتی خواهد بود که این خطر کوچک امنیتی و حریم خصوصی در نسخه‌های آینده فناوری‌های انتقال داده‌های بی‌سیم حذف شود. در حال حاضر، تنها چیزی که می‌توانیم توصیه کنیم استفاده از سیستم ضد پهپاد است. در برابر Wi-Peep کمکی نمی‌کند، اما حداقل از جاسوسی هوایی محافظت می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.