Підписуйтеся на наш телеграм канал!
Apple і Starlink без дозволу збирали конфіденційні дані 500 мільйонів користувачів зі всього світу
Дослідники з Університету Мериленду виявили серйозні проблеми безпеки та конфіденційності у системах геолокації Apple і Starlink. Під час дослідження стало зрозуміло, що дані, які компанії збирають і публічно діляться, можуть використовуватися для відстеження місця розташування мільярдів пристроїв по всьому світу.
Apple збирає дані про точне місцеперебування всіх Wi-Fi точок доступу, видимих її пристроями. Це дає змогу пристроям компанії надавати користувачам інформацію про географічне місце без постійного звернення до GPS. Аналогічні системи працюють і в Google. Обидва гіганти фіксують ідентифікатори Wi-Fi точок доступу, такі як MAC-адреси (BSSID).
На відміну від Google, Apple повертає геолокацію до 400 прилеглих BSSID, що дає змогу пристроям визначати своє місце розташування на основі відомих точок доступу. Цей обсяг даних дозволив дослідникам із Мериленду відстежувати переміщення окремих пристроїв у будь-якій точці світу. Вони запросили дані про більш ніж мільярд випадково згенерованих BSSID і отримали інформацію про 488 мільйонів точок доступу.
Так, дослідники використовували отримані дані для моніторингу переміщень супутників Starlink. Кожен пристрій Starlink оснащений власною Wi-Fi точкою доступу, яка автоматично індексується найближчими пристроями Apple з увімкненими службами геолокації.
У відповідь на результати дослідження, компанія Starlink випустила оновлення програмного забезпечення, які рандомізують BSSID пристроїв, що ускладнює їх відстеження. Дослідники зазначили, що останніми місяцями кількість пристроїв Starlink, місце розташування яких можна було б визначати за допомогою системи Apple, справді знизилася.
Apple також відреагувала на дослідження, внісши зміни до своєї політики конфіденційності. У березні 2024 року компанія дозволила користувачам виключати свої Wi-Fi точки доступу з системи, додавши суфікс «_nomap» до імені мережі.
Дослідники підкреслили, що відсутність можливості відмовитися від збору даних раніше становила серйозну загрозу для конфіденційності. За їхніми словами, Apple повинна впровадити додаткові заходи для обмеження зловживань своїм API, наприклад, обмеження швидкості запитів.
Виявлені вразливості становлять серйозну проблему для користувачів по всьому світу. Дослідження показує необхідність додаткових заходів безпеки та конфіденційності в системах геолокації для захисту користувачів від потенційних загроз і зловживань.