14:00
15/9/2010

nvh podesłał link do ciekawej strony, która za pomocą ataku XSS odczytuje MAC naszego bezprzewodowego routera, a następnie przesyła go do Google, a konkretnie do ich usług lokalizujących. Po chwili, kropeczka na mapie pokazuje gdzie jesteśmy…

Lokalizacja przez przeglądarkę

Jeśli chcecie przetestować skuteczność narzędzia, udajcie się na na stronę http://samy.pl/mapxss/. Tam należy podać adres MAC naszego access pointa (albo kliknąć na link, który przy pomocy ataku XSS na router sam odczyta jego adres MAC). Następnie, dane te zostaną przesłane do usług geolokalizacyjnych należących do Google’a i w odpowiedzi otrzymamy naszą pozycję:

Lokalizacja internautów via Google

Pozycja wskazana przez Google po podaniu MAC adresu access pointa.

Jak to działa?

Samochody Google, robiące zdjęcia do projektu Google Street View, oprócz fotek zbierają także dane na temat mijanych sieci bezprzewodowych — przypomnijcie sobie aferę ze sniffowaniem przez Google Car haseł latających po otwartym Wi-Fi.

Przechwycone nazwy sieci bezprzewodowych (SSID), MAC adresy ich routerów (BSSID) a także siła ich sygnałów są nakładane na mapę. Dzięki temu Google po otrzymaniu MAC-a jest w stanie zwrócić przybliżoną lokalizację użytkownika.

Firefox też potrafi nas zlokalizować

Wbudowany w Firefox mechanizm geolokalizacji (można przetestować klikając tutaj) po wyrażeniu zgody przez użytkownika odczytuje przez kartę Wi-Fi nazwy sieci bezprzewodowych z okolicy (i kilka innych danych) a następnie przesyła je do Google, w odpowiedzi otrzymując lokalizację użytkownika.

Geolokalizacja w Firefoksie

Firefox pyta zanim wyśle dane o sieciach bezprzewodowych z okolicy na serwery Google.

Samy zauważa, że o ile Firefox zapyta nas, czy chcemy przekazać do Google dane o naszej lokalizacji, to znaleziony przez niego atak XSS na router Wi-Fi pozwala wyciągnąć MAC i wysłać go do Google bez pytania użytkownika o zgodę… Oczywiście, kluczowe jest tutaj to, żeby dany router posiadał podatność XSS (a to na szczęście nie jest często spotykane).

Gdzie Google Car nie może, tam komórkę wyśle?

A co z miejscami, do których Google Cars nie dotarły? Zastanawiam się, czy użytkownicy telefonów komórkowych z GPS-ami i aplikacją Google Maps nie działają przypadkiem jak Google Cars: uruchomienie aplikacji to skan dostępnych sieci Wi-Fi, odczyt pozycji z GPS i upload tych danych na serwery Google — polityka prywatności dla Google Maps for Mobile jest dość ogólnikowa w tej kwestii :> Czyżbyśmy byli narzędziami w rękach Google?

Google - all your base are belong to us

Google - all your base are belong to us!

Jeśli przypomnicie sobie nasz artykuł sprzed paru miesięcy (o tym jak można poznać nazwisko internauty, który odwiedza naszą stronę WWW), to chyba nie macie już złudzeń, że w sieci nie jesteście tak anonimowi, jak wam się wydaje ;-)

Aktualizacja
A jednak miałem rację, Google potwierdziło, że swoją bazę buduje także w oparciu o dane pochodzące z komórek, a nie tylko samochodów Google…

Przeczytaj także:

69 komentarzy

Dodaj komentarz
  1. google zbiera też przez przeglądarki

    wystarczy wejść na stronę http://www.google.com/intl/en_us/latitude/intro.html i dodać iGoogle, wówczas po wejściu na google id przeglądarka automagicznie przesyła po wi-fi lokalizację

  2. Z tym, że odczytanie adresu MAC routera z poziomu browsera wymaga jakiejś dodatkowej dziury w routerze – w tym przypadku Samy znalazł XSS w panelu routera Verizon FiOS. Czyli nie tak groźnie, jak mogłoby być (chociaż luk XSS w routerach ostatnio coraz więcej)

  3. Google zaczyna być coraz bardziej bezczelny?

    Cała akcja ze sniffowaniem WiFi była nielegalna a oni mało że tego nie zaprzestali tylko rozszerzyli na komórki to jeszcze do tego dane w ten sposób zebrane wykorzystują w swoich publicznych serwisach! To jest jakaś PARANOJA!

  4. Samy stwierdził że jestem w LA przy N Formosa Ave. Firefox za to bezbłędnie.

  5. Ale chociaż jak ukradną router z domu, to chociaż wiadomo gdzie go szukać :-)

  6. Samy jest miłośnikiem Polski, czy Perla? ;)

  7. @null – słuszna uwaga :D

    A co do tego ataku, to ja tam widzę tylko jeden router podatny na atak. O ile w FF sam podam swoją lokalizację, to jakoś nie widzę dużego zagrożenia…
    No chyba, że każdy (albo większość) routerów jest podatna na taki atak – o tym jednak autor nic nie wspomina…

  8. Samy się pomylił… moim zdaniem to działa tylko w USA, natomiast FF wskazał prawie bezbłędnie pomylił się tylko o jakieś 30 metrów :F

  9. Trafiony, 100/100 ;D — chyba wyłączę moduł GPS w moim Palmie..

  10. Update: Dzięki FF strona zlokalizowała mnie w… Warszawie. I tyle, żadnej ulicy czy nawet przybliżonego położenia.
    Szukaj igły w stogu siana :P

  11. U mnie się pomylił troszeczkę, aczkolwiek znalazłem się w okręgu o polu około 200-300 metrów.

  12. To zależy m.in. od tego, czy korzystałeś z Google Maps na telefonie, przy użyciu danego urządzenia, którego bssid testujesz.

  13. fuck! Po MACu zidentyfikowali co do metrów!
    XSS na szczęście nie zadziałał.

    • Dariusz: bo xss zadziała jeśli masz podatny na atak router (a większość nie jest, jeszcze ;-)

  14. A skąd siem ten Virus wziął?
    Kliknołem we wszystkie linki na tej stronie i proszę :P
    http://img840.imageshack.us/i/virusik.jpg/

  15. “Google – all your base are belong to us!” – to zamierzone, czy może ja czegoś nie rozumiem? Przecież na plakacie wyraźnie jest napisane “all your DATA are belong to us!”

  16. @ karololszak “Google – all your base are belong to us!” / cytujac za wikipedia:All your base are belong to us (czasem All your base, albo w skrócie AYBABTU lub AYB) – cytat z błędnego angielskiego tłumaczenia japońskiej gry Zero Wing, które ukazało się w 1992./ Plakat ma uaktualniona dla google dopiske, podpis nawiazuje do pierwowzoru.

  17. Firefox i ten PoC nie działają w moim przypadku :)

  18. FF dałby 3 metry dalej i byłoby pudło :D
    Z drugiej strony się nie dziwię, router to “aż” D-Link DI-524, najtańszy jaki był.

  19. A mi pokazuje Kraków a dokładnego położenia nie :(

  20. Hmm, mam telefon z Androidem, loguje sie nim do mojej sieci WiFi, a jakos jej nie ma…

  21. Hmm, Avira jakaś przewrażliwiona jest, przejrzałem kod strony i nie ma w nim nic dziwnego.

  22. Mozilla failed o jakieś 200km :P

  23. Zrobilem male badanie – na 29 sieci, ktore zlapalem przechadzajac sie po mieszkaniu, zlokalizowalo bardzo dokladnie 17 z nich.
    Firefox na komputerze z WiFi zlokalizowal mnie niestety poprawnie ;) Na komputerze podpietym do kablowki jest dokladnosc tylko do poziomu miasta.
    W Operze 10.62 lokalizacja dziala tak samo, jak w Firefoxie. Mozecie dopisac, ze w Operze tez mozna testowac ;)

  24. Jak zmienić MAC WiFi routera D-Link 524? Bo mnie namierzyło z dokładności kilkunastu metrów.

  25. a mi i Samy i FF i google maps (w komórce po wifi) pokazały to samo miejsce w milanie, z tym że ja jestem we wro

    • @mm: adresy MAC wbrew temu co się sądzi, nie są unikalne — stąd ktoś w Milanie może mieć taki jak Ty w Polsce. (a M jest przed P w alfabecie :P)

  26. Samy zlokalizował mnie tylko na podstawie adresu mojego routera. W moim przypadku podał stary adres (nieaktualny od roku).
    Google Maps natomiast zlokalizował mnie z dokładnością do kilku metrów na podstawie okolicznych sieci bezprzewodowych. Przy wyłączonej karcie Wi-Fi ograniczył się do wskazania Polski.

  27. :O To działa, pokazało mi sąsiadującą ulicę po wpisaniu maca Wi-fi :O

  28. Czy ktoś może po Polsku wytłumaczyć dokładnie jak to działa, że po MACu wyszukuje dokładnie ulicę? Router jakoś pobiera lokalizację z danych przesyłanych w sieci czy jak? Bo mi się to nie mieści w głowie…

  29. sa unikalne jesli sie ma porzadny firewall ;p
    probowalem po Mac z firmy i z domu i mi wyskoczylo tylko tyle :
    Sorry, didn’t find anything for xx-xx-xx-xx-xx-xx

    heh, dobra zabawka ale do lokalnych sieci i w gloopiej ameryce chyba

  30. A mnie zlokalizował dobrze i tu i tu. Mieszkam w średniej miejscowości (30 000 ludzi). Czy to znaczy, że tu też jeździły samochody Google?

    • Ja poważnie zaczynam wątpić w to, że wy czytacie to, co komentujecie…

      @Wojtek: patrz ostatnie zdanie
      @angelus: patrz inne komentarze
      @ROMEK: patrz …yyyy cały artykuł?

      Włączam moderacje komentarzy — te zawierające pytania, na które odpowiedzi są w artykule zostaną wycięte.

  31. U mnie pomyłka o ok. 130km :D

  32. I jak tu nie kochać google i mozilli…

  33. Właśnie nad tym ostanio się bardzo zastanawiałem, czemu po uruchomieniu apliakcji “Mapy” w Androidzie pokazuje mi gdzie jestem. Ki czort, tm bardziej że miałem wyłączonego GPSa i po samym WiFi się łączyłem.
    Druga sprawa że nie akceptowałem udostępniania lokalizacji i przy każdym odpytaniu jestem pytany czy akceptuje warunki. Nic z tego nie rozumiem.
    W tej samej sieci będąc zaakceptowałem warunki lokalizacji via FF poprzez link podany w art i zero, null. Warszawa i tyle czyli pewno po dostawcy usługi którym jest beznadziejny aster ;)
    Wynika z tego ze zebrał MAC smartfołna nie routera.

  34. firefox http://samy.pl/mapxss/?mac=`arp -a | cut -f4 –delimiter=” “`

    :D

  35. A mnie lekko śmieszy ta paranoja pt “O nie, google zna moje myśli!” itp. Niektórzy strzegą wszystkiego na swój temat niemal jak numeru karty kredytowej czy hasła do konta bankowego.

  36. Oczywiście. I coraz częściej (nie demonizując) będzie dochodzilo do kradizerzy tożsamości poprzez ludzką głupotę i naiwność. Mieć trzeba świadomość że prócz osób korzystających dla przyjemności czy rozrywki są osoby które lubią takie rzeczy i są w stanie wykrozystać przeciwko tobie. Popatrz na bani, teraz pierwszym krokiem w celu pozyskania kredytu i wiarygodności klienta jest odwiedzenie portalu społecznościowego przez bank. kilka dni temu było głośno o tym że facet w zeznaniu nie przyznał się że ma dzieci bo na zdjęciu jednego z portali znaleźli fotkę z dziećmi – notabene nie jego. To jeden news z kilku które miały miejsce. Wiesz ile można się dowiedzieć ? Na dodatek czasami są to rzeczy kompromitujące czy takie których nie spodziewałby się – jasne każdy jest inny, ale trzymajmy się meritum.

    Nie po to jest portal aby coś zostało wyjęte i użyte przeciwko tobie lecz coraz częściej tak się dzieje w rożnych kategoriach nie koniecznie w segmencie finansowym.
    Obstawiam że za kilka lub kilkanaście, tożsamość będzie na wagę złota a za tym idzie nowy rynek.

    p.

  37. “Włączam moderacje komentarzy — te zawierające pytania, na które odpowiedzi są w artykule zostaną wycięte.” – Piotr Konieczny

    To ja temat pośredni i tak, żeby nie można usunąć bo w art odpowiedź (tak na marginesie to na większość jest odp w art bo jest wyczerpujący).
    Piotrek! Jakiego koloru jest twój router?!

  38. Moje 23 tysięczne miasto na dziesiątki małych uliczek i kilka większych osiedli. Jaka jest szansa, że lokacja wg http://www.mozilla.com/en-US/firefox/geolocation/#geo-demo jest tak dokładna, a strona samy.pl nie pokazuje raportu o moim MACu, bo dane pobierane są z ustawień konta google (na które jestem zalogowany)? Oczywiście szansa, że google car był w pobliżu mojego domu jest praktycznie żadna.

  39. Opera również ma wbudowany identyczny mechanizm udotępniania lokalizacji jak ten z firefoksa

  40. firefox nic nie zdziałał, za to sammy trafił perfekcyjnie, najwyższy czas zmienić MACa w pomidorku

  41. pytanko:
    czy Hide SSID by tu coś pomogło?

  42. @piter
    W telefonie dochodzi ci coś takiego jak informacja o stacjach bazowych (GSM).
    Ta opcja działa też na Javowym odpowiedniku google maps na telefony (nie trzeba do tego wypasionego androida ;) )

  43. Samy jak w większości przypadków powyżej nie zlokalizował mnie za to co ciekawe – usuga lokalizacji FF wykazała się taką perfekcją w moim przypadku że o dokładności trafienia trudno mówić – chyba że dla kogoś rozstrzał +/- 40km nie stanowi przeszkody… ;)

  44. pomyliło się o 4 numery domów, ale router znajduje się na granicy strefy wyznaczonej przez google

  45. NIe rozumiem czym ludzie się podniecają. Przecież o tym, że google wykorzystuje swoje aplikacje (zwłaszcza te w systemie android) do lokalizacji sieci WiFi. Notabene użytkownik zgadza się na to podczas aktywacji funkcji gdzie telefon będzie pobierał wstępną lokalizację właśnie dzięki wifi, jeżeli chce korzystać tylko z gps to tel nie będzie wysyłał informacji o lokalizacji routera.

  46. Mi nie znalazł żadnego z dwóch routerów, geolokalizacja przeglądarkowa też zawiodła. Używałem Google Maps + gps + wifi, co ciekawe – przy samym wifi google moją lokalizację pomyliło o jakiś kilometr (na telefonie), ale już przy pomocy tego czegoś lokalizacja się nie pokaże..

  47. U mnieSamy podał stary adres (choć miejsce to samo), ale mimo wszystko, zlokalizować mnie w mojej głuszy to jednak spory sukces. FF za to pokazał Kraków, tak jakby lokalizował mnie po IP, czy robię coś źle?

  48. fajnie nie wiedzialem ze mieszkam w stanach :d

  49. Wszystko ok, ale ja mieszkam w takiej dziurze i na pewno google car tutaj na pewno nie dotarl. A po podaniu adresu mac mojego routera mozna mniec bardzo dokladnie zlokalizowac. :/

  50. Zaczynam się lekko denerwować… Nie dlatego, że Google zbiera takie dane, bo o tym od dawna wiem, ale dlatego, że moja lokalizacja wg Google to… lasy w okolicach Wołgogradu!

    Ja rozumiem, że MAC może był ten sam…, może tylko przypadek…, może to nic takiego…, ale żeby akurat Wołgograd?! Rozumiem Milan – Unia Europejska, cywilizacja, albo chociaż USA…

    Zaraz, zaraz, a gdzie ja ten router kupowałem…

  51. (…) No i to oprogramowanie routera takie dziwne. Chyba jednak nie jest oryginalne. W sumie nieźle działa. Tylko te napisy w cyrylicy czasem irytują. Mam nadzieję, że te regularne pingi na serwer we Władywostoku to nic poważnego. (…)

  52. @Janko Walski : Wiele mi wyjaśniłeś, szcze nie brałęm tego pod uwagę.

  53. Coś ta metoda ataku kiepściutko działa… “Przekroczono limit czasu połączenia. Serwer 192.168.1.1 zbyt długo nie odpowiada.” Nic dziwnego, że coś co nie istnieje nie odpowiada ;) Mój router nawet fabrycznie miał inne ip ustawione ^^

  54. Sorry, didn’t find anything for xx-xx-xx-xx-xx-xx. (:
    I teraz pytanie: czy powinienem się cieszyć? :>

  55. Jestem w szoku … nie myślałem, że tak dokładnie można zlokalizować po wifi. Więc w takim razie, włamując się komuś do laptopa, można by dość dokładnie go zlokalizować po MACach widzianych przez niego sieci…

  56. Google nic, a firefox pokazał krąg ktory zawierał w sobie katowice, rzeszów, kraków i czeski preszów:D

  57. @Tomek
    Podłącz kartę WiFi do komputera niech znajdzie kilka sieci, wtedy spróbuj – pewnie będzie lepiej.
    U mnie bez wifi – nic specjalnego po IP mnie machną i namalował ogromny krąg :) Po podłączeniu karty dokładność wynosiła ~100m. Ładnie ;0

  58. Routera nie posiadam, a geolokalizacja w FF wskazuje na szczęście Warszawę (tam mój operator ma routery brzegowe).

  59. U mnie geolokalizacja poprzez MAC rutera poszła sprawnie.
    Przynajmniej u mnie mechanizm był następujący. W komórce włączam google maps, moduł GPS pokazuje moja pozycje, a zarazem do google leci info z numerem MAC rutera poprzez którego łącze się z netem.
    Teraz wystarczy wyciągnąć te dane z googla i już wiadomo jak to działa.
    No no google !!!
    Czyli posiadacze odbiorników GPS podłączający je pod aplikacje google maps, są zarazem informatorami google.

  60. Ciekawe, z chęcią bym to
    zamontował na samorzadni.com.
    Ale u Nas Google Cara jeszcze nie było :)

    Pozdrawiam serdecznie
    Paweł P.

  61. Marcin to sie nazywa heuterystyka.

  62. […] inne) także stale wykrywają sieci bezprzewodowe w okolicy, w której znajduje się użytkownik i automatycznie przesyłają dane na ich temat do centrali (por. iPhone i iPad zapisują gdzie byłeś). Jak więc widać, wcale nie trzeba samochodu Google w […]

  63. Mój ruter jest lokalizowany po MACu dokładnie (ok 30 m), ale jakoś mi to nie przeszkadza. Rozgłaszam również swój SSID.
    Przynajmniej jakaś sierota (ze smartfonem) co się zgubi w mojej okolicy będzie się mogła odnaleźć na mapie dzięki mojej sieci :-)

  64. za 20 lat to gogle zawładnie światem…

  65. […] 1. Adresy, w których przebywała ofiara.. Niepołączone z siecią Wi-Fi urządzenia mobilne wysyłają w eter ramki z nazwami historycznych sieci, do jakich były podpięte, pytając czy znajdują się one w pobliżu. CreepyDOL zbiera nazwy i odpytuje o nie geolokalizacyjne bazy Wi-Fi (np. Google ma taką bazę, w której oznacza pozycję danej sieci. Dane pochodzą z samochodów StreetView oraz od każdego użytkownika telefonu z Androidem i modułem GPS — tak, tak, drogi użytkowniku Androida, podłączając się do jakiejś sieci Wi-Fi, wysyłasz na serwery Google jej lokalizację). […]

  66. Google Chrome pozwala zmienić dane o geolokalizacji ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.