Onderzoek onthult dat het Wi-Fi positioneringssysteem van Apple wereldwijde surveillance van mensen en militaire bewegingen mogelijk maakt
Tijdens de conferentie Black Hat USA 2024 werd een van de meest zorgwekkende onthullingen van het jaar op het gebied van cyberbeveiliging en privacy gepresenteerd. Onderzoeker Erik Rye, met een team van de Universiteit van Maryland, heeft aangetoond dat het Wi-Fi positioneringssysteem (WPS) van Apple kan worden misbruikt om een wereldwijde massale surveillancenetwerk te creëren zonder dat de gebruikers zich hiervan bewust zijn.
Van een open API naar wereldwijde spionage
Het functioneren van deze systemen is eenvoudig en bekend: elk mobiel apparaat met actieve Wi-Fi detecteert nabijgelegen netwerken en stuurt informatie (zoals MAC-adres of BSSID, netwerknaam, signaalsterkte en GPS-locatie) naar de servers van technologie-giganten zoals Apple, Google of Microsoft. Deze databases worden gebruikt voor geolocalisatie binnenshuis, maar het onderzoek toont aan dat ze ook kunnen worden benut voor veel duisterdere doeleinden.
Het team van Rye ontdekte dat de API van Apple massale verzoeken zonder authenticatie of strikte limieten toestond. Dit betekende dat iedereen, van cybercriminelen tot buitenlandse staten, de locatie van miljoenen Wi-Fi-netwerken kon opvragen en daarmee de beweging van mensen en apparaten kon volgen. Gedurende een jaar onderzoek verzamelde het team meer dan 2 miljard BSSIDs, waardoor ze een extreem gedetailleerde kaart van apparaten en locaties over de hele wereld konden opbouwen.
Reële bedreigingen en gevaarlijke toepassingen
Het gepresenteerde rapport omvat praktische voorbeelden die tonen hoe dit systeem kan worden gebruikt:
- Militaire spionage en volgen in conflictgebieden: Bewegingen van militaire en civiele doelwitten zijn gevolgd in Oekraïne en Gaza, eenvoudigweg via het volgen van Wi-Fi-toegangspunten.
- Monitoring na rampen: De plotselinge verdwijning van Wi-Fi-netwerken na de branden op Maui maakt het mogelijk om de omvang van de ramp te evalueren en evacuaties te volgen.
- Volgen van specifieke individuen: Een apparaat dat continu aan een Wi-Fi-netwerk is gekoppeld, kan fungeren als een mobiele beacon die in real-time te volgen is.
Het onderzoek waarschuwt ook voor de mogelijkheid dat bedrijven of regeringen soortgelijke databases opbouwen door middel van wardriving, zonder toegang tot officiële API’s.
Wereldwijde impact en gebrek aan regulering
De database die door het team van Rye is verzameld, bestrijkt dichtbevolkte gebieden en weerspiegelt wereldwijde patronen. Een uitzondering is China, waar wettelijke beperkingen voorkomen dat gevoelige geografische gegevens openbaar worden gemaakt, wat aantoont dat staatscontrole de exploitatie van deze technieken kan beperken.
Onder de meest getroffen fabrikanten vallen TP-Link, Huawei en Vantiva, maar de grootste zorg betreft Starlink. De satellietrouters die door de Oekraïense strijdkrachten werden gebruikt, werden nauwkeurig gevolgd, wat kritieke militaire operaties had kunnen compromitteren.
De reactie van Apple en onvoldoende maatregelen
Na de publicatie van het onderzoek heeft Apple enkele patches doorgevoerd: beperkingen op IP-niveau, mogelijkheden voor vrijwillige uitsluiting en gedeeltelijke randomisatie van BSSIDs. Desondanks zijn de onderzoekers het erover eens dat deze maatregelen het onderliggende probleem niet oplossen.
Erik Rye waarschuwt: "Het grootste risico is dat elke kwaadwillende actor zonder speciale toestemming de beweging van miljoenen mensen en cruciale activa kan in kaart brengen zonder gedetecteerd te worden."
Hoe jezelf te beschermen?
Het rapport doet aanbevelingen aan fabrikanten:
- Beperk de toegang tot hun API’s drastisch.
- Verwijder de antwoorden die extra gegevens van nabijgelegen netwerken teruggeven.
- Implementeer verplichte randomisatie van BSSIDs op alle routers, iets dat bedrijven zoals SpaceX voor hun Starlink-netwerk al zijn begonnen uit te rollen.
Aan gebruikers wordt geadviseerd om het langdurig gebruik van dezelfde router op verschillende locaties te vermijden en, voor zover mogelijk, apparaten te kiezen die het mogelijk maken om het MAC-adres te verbergen of te roteren.
Passieve surveillance die niet opvalt
De zaak die door Rye is gepresenteerd, bevestigt wat experts in cyberbeveiliging al jaren waarschuwen: passieve geolocatie via Wi-Fi is een vorm van massale surveillance die geen toestemming, autorisatie of GPS vereist. In een wereld waar connectiviteit alomtegenwoordig is, vormt deze kwetsbaarheid een bedreiging voor individuele privacy, nationale veiligheid en technologische soevereiniteit van landen.
Een debat dat nog maar net begint
De presentatie op Black Hat heeft een debat ontketend binnen de technologie- en cyberbeveiligingsgemeenschap over de mate waarin technologie-giganten zoals Apple of Google verantwoordelijk moeten worden gehouden voor de onbedoelde exploitatie van hun infrastructuren voor spionagedoeleinden. Voorlopig blijven de gegevens circuleren en zijn de methoden voor exploitatie actueel. De vraag die overblijft is: is er een internationale regulering nodig om deze dreiging een halt toe te roepen?