“Wi-Fi探針”收集手機號碼是咋實現(xiàn)的？有沒辦法防范？

長慶wcqjs 2019-03-19

展開全文

為何在國家加大整治騷擾電話的形勢下，我們還會接到各種各樣的騷擾電話呢？

今年3·15 晚會，曝光了一條高科技灰色產(chǎn)業(yè)鏈。整個產(chǎn)業(yè)鏈條包括智能機器人騷擾電話＋大數(shù)據(jù)營銷＋探針盒子，涉及多家相關(guān)企業(yè)，其中不乏融資上千萬的高新企業(yè)。

一個小盒子，一個商場，一年過億的用戶數(shù)據(jù)

今年315在線曝光了一款由聲牙科技有限公司研發(fā)的探針盒子。說的簡單粗暴點，只要你打開了Wi-Fi，這玩意就能獲取你的手機號。這家公司還聲稱，他們公司有全國6億用戶的信息資料。

“探針盒子”到底是咋實現(xiàn)的？具體來說，手機在開啟 WLAN 時，會主動廣播其 MAC 地址，從而和每個 SSID 背后的路由進行聯(lián)系和互通身份，但是“探針”可以收集這些 MAC 地址，而且可以得到一些附加數(shù)據(jù)，如某些情況下手機的機型（更多的是 App 泄露）和離收集設(shè)備的大概位置，它主要用途其實是定位。

收集到了 MAC 地址，接下來就是比對了，從各路 App 開發(fā)商買來手機號和 IMEI、MAC 地址的對應(yīng)數(shù)據(jù)庫（用戶給了它權(quán)限，而且前二者實際上可以通過很多渠道置換，無需授權(quán)）。

于是它就知道你的手機號，跟用戶數(shù)據(jù)庫一比對（其實簡單的推銷這時候直接讓機器打電話即可），客戶的大概畫像就出來了。

這些探針盒子都被放到哪了？

自然是人多的地方。一些公司將這種小盒子放在商場、超市、便利店、寫字樓等地，在用戶毫不知情的情況下，搜集個人信息，甚至包括婚姻、教育程度，收入等大數(shù)據(jù)個人信息！

相關(guān)負責(zé)人告訴記者，和店面合作，一個月只花幾百塊錢。一家商場11個門，裝了11個探針盒子。這些小盒子就安放在天花板的中空位置。然而對于這種違法行為，從業(yè)者心理其實非常清楚，甚至有人說：如果315曝出來，那315之后就要開始查了；如果315不曝出來，那還可以用1年。

在你逛街，逛超市，買東西時候，手機號早就被別人拿到了。拿到這些手機號后，再提供給大數(shù)據(jù)分析公司，綜合各類信息，將一些用戶的手機電話、指紋、房產(chǎn)信息，甚至受教育程度和收信息，都能一一確認(rèn)下來。如果有些信息不能確認(rèn)，還會通過釣魚短信的方式進一步完善信息。

更有意思的是，使用探針盒子收集用戶信息的公司并不是什么小作坊，相反，相關(guān)企業(yè)均為高新企業(yè)，融資金額動輒逾千萬。（事情還在發(fā)酵，希望追查到底?。?br>
目前，盒子日活躍量為5000-10000臺之間，全國已有3萬多臺設(shè)備在使用。

實際上Wi-Fi探針并不是什么新玩意，該技術(shù)七八年前在國外就已經(jīng)很成熟了，在過去因為沒有較大的危害，也沒有產(chǎn)生大規(guī)模的談?wù)?。而到如今能引起大家的關(guān)注，實際上是因為其結(jié)合了大數(shù)據(jù)的威力，通過關(guān)聯(lián)匹配、人物畫像、行為分析等技術(shù)產(chǎn)生一些驚人的功能。

那么，由MAC地址關(guān)聯(lián)到用戶個人信息的數(shù)據(jù)是從何而來的呢？除了前面提到的售賣大量探針盒子來收集數(shù)據(jù)外，還可能從第三方數(shù)據(jù)公司購買數(shù)據(jù)。

手機有沒有辦法防著呢？
當(dāng)然是有了。

MAC地址是分配給終端設(shè)備網(wǎng)絡(luò)接口的唯一硬編碼和標(biāo)識符，在生產(chǎn)過程中分配且通常無法更改，于是很多數(shù)據(jù)公司利用這一特性進行設(shè)備跟蹤。針對這些行為，實際上蘋果、谷歌、微軟都嘗試采取了一些措施來保護用戶的隱私：

Android O（P）開始，Google 在開發(fā)者選項里加入了 “連接時隨機選擇 MAC 地址” 的選項，這樣就可以避免一部分危險，但是很可惜的是，目前除了原生和類原生 UI，我見過的大部分廠商都閹割了它。央視直播中的EMUI 8和 MIUI 9 就是中招范例。

當(dāng)然你還是要啟動它的（前提是你要先有這個功能）！

Android Q Beta 開始，Google 在 WLAN 的單獨設(shè)置中提供了連接時是否選擇隨機 MAC 的選項，同樣也需要手動開啟。

iOS這邊，情況沒有很大緩解，但是它是相比五年前沒有很大緩解。

從iOS 8 開始，蘋果提供了隨機 MAC 地址功能，但它的觸發(fā)條件及其苛刻，你要鎖定屏幕，還要關(guān)掉定位服務(wù)，還要關(guān)閉移動數(shù)據(jù)，你才能用到隨機 MAC 功能。它還要求當(dāng)時最新的兩代 iPhone 才能使用這個功能。

好在四年前蘋果做了小修改，iOS 9 開始，這個功能開始逐步補齊，先是支持了 WLAN 閑置時全時開啟隨機 MAC 地址，而且支持了 iPhone 5 之后的所有 iPhone 和iPad。

iOS 10 開始，對所有設(shè)備都做了全時隨機 MAC 地址，無論是否連接。之后的 iOS 又分別做了一些改進。

在這個問題上，我們再次看到了蘋果對于用戶隱私的高瞻遠矚。蘋果還自動隨機生成 IMEI 等識別碼，阻止使用 IMEI 用來追蹤。

那么解決方法就很簡單了：

- 使用有原生安卓系統(tǒng)的機器，而且得是 O 以上或者 Q Beta，開發(fā)者設(shè)置里需要有隨機 MAC 地址的選項（索尼、諾基亞沒有）

- 或使用 iPhone 5 以上，iOS 10 以上的 iPhone 來徹底杜絕隱患，當(dāng)然更高的 iOS 版本還有更多的防追蹤功能，如隨機 IMEI 等識別碼、禁止網(wǎng)頁讀取幾乎全部用戶數(shù)據(jù)的功能。

- 因為iOS 根本不讓 App 讀取 IMEI 等識別碼和電話號碼，這樣更難尋獲到用戶隱私了。

- 國產(chǎn)手機用戶大多都得等更新，目前看了一圈，EMUI、Flyme 和 MIUI 無一沒被閹割，而且這跟偽基站是兩碼事！

- 已知有“連接時隨機選擇 MAC 地址”功能的國產(chǎn) UI 只有一加 H2OS 的部分測試版、vivo 部署了 Android P 的極少版本和 MIUI 10 內(nèi)核為 Android P 的極少開發(fā)版本。

- 已故的 Windows 10 Mobile 會有類似的功能，但可惜的是連接時無法啟用。

MAC地址隨機化等防御措施的效果也并不理想

隨機化技術(shù)的目的是為了防止追蹤，那相應(yīng)也有繞過隨機化來獲取到設(shè)備真實MAC地址思路。常見的繞過隨機化手段有以下幾種方式：

iOS&Android：

1.特性攻擊：讓目標(biāo)設(shè)備處于連接狀態(tài)，此時通信采用的都是真實MAC地址。如果目標(biāo)沒有連接上熱點，我們可以利用"已知熱點攻擊"，創(chuàng)建常見的公共Wi-Fi熱點名稱如“CMCC”、“StarBucks”等，當(dāng)目標(biāo)自動連接到我們的熱點后，隨機化即失效，就能獲得手機的真實 MAC 地址了；

2.漏洞攻擊：RTS 幀攻擊。2017年一份研究報告指出，可以利用 Wi-Fi 芯片處理低級控制消息的缺陷來獲取設(shè)備真實MAC地址：通過向無線客戶端發(fā)送RTS幀，其將會返回帶有真實MAC地址的CTS回復(fù)信息。

Windows 10：

漏洞攻擊：比如之前出現(xiàn)過一個設(shè)計缺陷，當(dāng)設(shè)備的隨機MAC地址改變時，Wi-Fi數(shù)據(jù)幀中的序列計數(shù)器并沒有被重置。利用這些序列號信息，我們就能跟蹤設(shè)備MAC地址，繞過MAC地址隨機化的保護了。

360天馬安全研究團隊還強調(diào)了幾個關(guān)鍵點：

1.Wi-Fi探針技術(shù)采用的是被動嗅探的方式。
這種被動嗅探的方式導(dǎo)致了Wi-Fi探針設(shè)備基本是不可被檢測到的，用對付惡意Wi-Fi熱點的解決方案是無法解決這個問題的。同時MAC地址隨機化等防御措施的效果也并不理想。

2.Wi-Fi探針主要利用的是協(xié)議上的缺陷。
從MAC地址隨機化等技術(shù)可以看到，主流操作系統(tǒng)的廠商都已經(jīng)做了許多努力來嘗試減少MAC地址追蹤帶來的危害。但這歸根結(jié)底是由于Wi-Fi協(xié)議上的缺陷導(dǎo)致的，想要徹底解決依然得靠相關(guān)標(biāo)準(zhǔn)的更新。遺憾的是在WPA3的更新說明中并沒有提到抵御設(shè)備跟蹤的相關(guān)信息。

3.關(guān)閉Wi-Fi功能并不一定有效。
理論上關(guān)閉Wi-Fi后就可以避免遭受Wi-Fi探針設(shè)備的攻擊，但實際上有的手機根本無法關(guān)閉Wi-Fi功能，雖然顯示關(guān)閉了，依然會定時發(fā)送Wi-Fi廣播包。

總之，確保自己連接的 Wi-Fi 安全是最為必要的。還有，家中的路由器不具備安全風(fēng)險！不要草木皆兵！