אתם לא חייבים לעשות צ’ק אין: איתור מיקום על פי נתוני רשת

אור בוטון מסביר איך ניתן לאתר אדם בקלות יחסית עם קצת עזרה ממפות גוגל ולמה אתם חייבים לשנות את סיסמת ברירת המחדל של הנתב האלחוטי שלכם

אם פעם היינו צריכים לספר לעולם היכן אנחנו נמצאים (וחלקנו עדיין עושים זאת באמצעות מני יישומים כמו פורסקוור), היום כבר אי אפשר לספור את כמות האפליקציות שמגלות את זה לבד.

למזלנו רוב האפליקציות צריכות רשות לפני שהן מפרסמות את מיקומנו לציבור. אבל מסתבר שגם יש דרכים לברר איכן אנחנו נמצאים מבלי לבקש רשות, או אפילו להתקין אפליקציה חדשה.

גוגל יודעת איפה אתם גרים

סמי קמקר הוא מתכנת הידוע בעיקר בזכות תולעת Javascript שכתב עבור הפרופיל שלו באתר MySpace בשנת 2007. התולעת התפשטה במהירות בין המשתמשים של האתר וגרמה לכל אדם שנדבק להוסיף את סמי אל רשימת החברים שלו. תוך פחות מ-20 שעות סמי הפך לאדם המקושר ביותר באתר עם מעל למיליון חברים ותביעה משפטית אחת.

במהלך כנס בלק האט 2010 סמי הראה שעדיין לא נגמרו לו הרעיונות: בהרצאה הנקראת “איך פגשתי את החברה שלך” הדגים סמי כיצד הוא מסוגל לאתר את מיקומם הפיזי של אנשים אשר מבקרים באתר שהוא הכין מראש באמצעות שילוב של פרצת אבטחה מסוג XSS ושימוש מקורי ב-Google Streetview – וכל זאת ללא ידיעת המשתמש.

איך זה עובד

למעשה, האימפלמנטציה היא פשוטה באופן שכמעט מעורר חשש:

הפורץ מפתה את המשתמש להכנס לאתר שמריץ פיסת קוד Javascript על המחשב של המשתמש. הקוד מנסה לתקשר עם אתר הקונפיגורציה של הראוטר באמצעות סיסמאת ברירת המחדל על פי יצרן המכשיר, ושולף את כתובת ה-MAC של המכשיר. הקוד שולח את כתובת ה-MAC לאתר מריץ את הכתובת מול Google Streetview, מה שאמור להחזיר את המיקום הגיאוגרפי של המשתמש במידה והמכונית של Streetview הקליטה את מיקום הראוטר האלחוטי.

ההתקפה מתבססת על מספר הנחות על המשתמש: המשתמש נמצא מאחורי נתב רשת, לא שינה את סיסמאת ברירת המחדל או כבר מאומת אל מול המכשיר בדפדפן, ולא פחות חשוב: המשתמש נמצא באחת הארצות הנתמכות על ידי שירות StreetView.

שירות ה-StreetView של גוגל הוא נוח כמו שהוא שנוי במחלוקות. מדובר בשירות ערך מוסף שגוגל מספקת על אתר המפות שלה במספר מדינות ברחבי העולם, אשר במהלכו גוגל שולחת מכונית עם מצלמת פאנורמה אשר מסוגלת לצלם תמונות ב-360 מעלות. המכונית נעה בכבישים ולוכדת תמונות של הדרך ומתייגת אותן עם המיקום הגיאוגרפי שבו הן נלקחו. מסתבר שתמונות הן לא הדבר היחיד שהמכונית לוכדות: כחלק מהשירות, המכונית גם שומרת רשימה של כתובות ה-MAC של רשתות אלחוטיות של משתמשים ביתיים ובתי עסק. הרעיון: באמצעות חישוב טריאנגולאציה (triangulation) על עוצמת האות של הראוטר ניתן לאתר את מיקומו הגיאוגרפי.

על ידי שמירת מפה מעודכנת של מיקומם של ראוטרים ברחבי הערים הגדולות, ניתן לאפשר לטלפונים ומכשירים ניידים ללא GPS לאתר את מיקומם הגאוגרפי כל עוד הם מוקפים במספיק נקודות חיבור לאינטרנט. הראוטר לא צריך להיות פתוח לציבור, מכיוון שאת כתובת ה-MAC הוא משדר באופן שלא מצריך חיבור או סיסמא.

אבל לשירות יש גם צד אפל: על ידי שליחת כתובת ה-MAC של משתמש את השירות החינמי של גוגל, ניתן גם לאתר את מיקומו וכתובתו הפיזי של הבעל המכשיר. וזה בדיוק מה שסמי קמקר עושה.

להתחיל לדאוג?

בינתיים בארץ אפשר להיות שקטים. StreetView עדיין לא הגיע לכאן, ונראה שגם לא יגיע בזמן הקרוב. כמו כן השירותים המתחרים כמו השירות של חברת Skyhook Wireless שנוצל בזמנו על ידי האייפון גם כן נמנע מלסרוק את הארץ.

אבל בכל זאת הסיפור הזה מדגים נקודה חשובה שיותר מידי אנשים נוטים לשכוח: קניתם ראוטר חדש? דבר ראשון לפני הכל: שנו את הסיסמא.

אור בוטון

גיק וגיימר מהסוג הישן שזוכר ימים טובים יותר. תושב קבע בכפר הגלובלי של הרשת ואובססיבי לגבי טכנולוגיה, חדשנות ותרבות רשת. בעל חיבה בלתי מובנת למציאות מדומה וכל הקשור בכך.

הגב

6 תגובות על "אתם לא חייבים לעשות צ’ק אין: איתור מיקום על פי נתוני רשת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אריה
Guest

לידיעתכם: Streetview מגיע בקרוב מאוד לירושלים וראש עיריית ירושלים כבר הכריז על כך בגאווה…

רן בר-זיק
Guest

השיטה עצמה ממש גאונית ויפה! ככה צריך לעבוד האקר אמיתי.

עמרי
Guest

אפשר הסבר על איך יכול האתר התוקף לבצע אוטנטיקציה מול הראוטר ואז לשנות הגדרות, וכל מהג’אווה סקריפט?

mor
Guest

לא יאמן איך טכנולוגיה לפעמים עשויה לפגוע בנו. אני עכשיו הולכת לשנות את סיסמא של הראוטר

שלו
Guest

אז איך מגלים איפו מישהו גר???

wpDiscuz

תגיות לכתבה: