英语原文共 9 页,剩余内容已隐藏,支付完成后下载完整资料
我知道你MAC地址:通过Wi-Fi追踪目标个体
Mathieu Cunche
摘要:这项工作涉及无线通信技术,即Wi-Fi,蓝牙和GSM,这些技术会嵌入在便携式设备中。人们专注于研究Wi-Fi可能影响设备所有者的隐私问题和其他潜在的问题。 Wi-Fi设备会定期以文本方式广播它的唯一标识符以及其他敏感信息。因此,持有者容易受到一系列隐私泄露的影响,例如容易被获取他们的移动和私人信息。同时,将设备与个人及其真实世界身份联系在一起并不是一项简单的任务。针对此问题,我们有一系列设计方案,可以让攻击者将Wi-Fi设备关联到其所有者身份。最终我们提出了两种方法,给定一个目标对象,可以识别其关联的Wi-Fi便携式设备的MAC地址。当然这些方法并不需要对设备进行物理访问,可以远程执行,从而降低了攻击被发现的风险。最后,本文指出了MAC地址的用处有时会被错误利用。
1简介
Wi-Fi技术是中距离通信的主要解决方案,并且嵌入在越来越多的智能对象中。 特别是大多数智能手机拥有Wi-Fi网络接口。与GSM技术相比,它是最便宜,最快速的互联网接入方式。
如今,Wi-Fi具有强大的加密/认证机制,可确保数据安全地传输到无线信道。 然而,最近的工作表明,那些拥有Wi-Fi功能的智能设备是对持有者隐私的一种威胁。 例如,先前访问的网络的名称可以在一些管理框架中找到未加密的个人信息,并且可以用于获取持有者的私人信息[11],例如社交链接[8]。
此外,如果某些Wi-Fi帧的有效载荷可以加密,则Wi-Fi帧始终以明文形式传输。 这意味着,就可以收集设备的MAC地址(唯一标识符)并且把它用于唯一标识设备的所有者。 Wi-Fi帧的发射不仅仅在设备连接到Wi-Fi网络的那个时刻。 实际上,由于在大多数设备上启用了Wi-Fi网络发现,因此Wi-Fi接口会定期向外广播包含其MAC地址的数据帧,充当了网络中的无线信标。 因此,打开Wi-Fi接口的设备会不断地定期向外广播其MAC地址。 对于诸如GSM和蓝牙之类的技术也是这样,其周期性地发送唯一标识符(蓝牙的MAC地址和GSM的TMSI)。 因此,本文提出的方法可以应用于其他射频技术。
由于我们设备充当一个无线信标,现在可以进行射频跟踪。 许多研究人员和黑客已经设计出这样的系统来收集移动数据集或提高对设备相关数据的保护[12,13]。 同时除了这些之外,射频跟踪的大规模商业应用也正在进行。 例如,射频跟踪应用于交通监控应用,为此提供相关的交通信息,比如点对点旅行和交通流量[2]。 它还用于监控商店和购物中心内的人们活动[3]。 射频跟踪部署在这些区域可以用来手机有关客户流量和购物习惯的信息。
如果射频跟踪允许基于唯一标识符来跟踪目标个体,则它不能直接获得目标的真实身份,而要从唯一标识符中确认。在这项工作中,我们正在考虑找到设备广播的MAC地址与其所有者身份进行关联的方法。 更具体地,对于目标个体,我们希望获得他的便携式设备的MAC地址。
为了实现这一目标,我们建议将无线技术与社交行为相结合。 此外,为了确保我们提案的实用性,我们的设计具有以下特性:
- 准确性:获得的MAC地址与目标对得上;
- 隐蔽性:这种获取相关信息的方法不会被目标注意。
我们提出了两种实现上述目标的方法。第一种名为Wi-Fi AP Replay的攻击方法,这种方法利用了目标先前连接到的网络,以便获取目标的MAC地址。 第二种攻击称为Stalker攻击,通过监听Wi-Fi信道来实时跟踪公共空间中的目标,后者通过分析捕获的跟踪来识别其MAC地址。
本文的结构如下,第2节介绍了Wi-Fi技术和相关的黑客工具。第三节介绍了对Wi-Fi设备以纯文本传输的信息的初步调查,然后确定了两种识别目标MAC地址的方法。在第四节和第五节详细介绍着两种攻击方法。第6节介绍了恶意应用程序也会通过这种方法来获取一些私人信息。
最后,本文是第二届灰帽攻击研究国际研讨会[7]工作的扩展和修订版。
2 背景和问题描述
2.1 Wi-Fi技术
典型Wi-Fi网络由接入点(AP)组成,一组配备有Wi-Fi接口的设备连接到该接入点。 Wi-Fi技术基于802.11协议系列。 Wi-Fi包被称为帧,帧可以分为两类:一种是数据帧,另一种是管理和控制帧。数据帧负责承载实际数据流量,而管理和控制帧用于各种目的,如关联,身份验证和服务发现。如果在传输中启用安全机制(WEP,WPA等)时,就可以加密数据包中的有效负载, 那么帧头就会非常的明显,这就会导致窃听者可以直接获得相应的信息。
图1 802.11帧结构
图1显示了802.11帧的结构:一个30字节长的报头和一个有效载荷,后面是一个4字节的校验和。在报头内,地址字段包含MAC地址:地址1表示源地址,地址2表示目的地址。
2.1.1 MAC地址
在帧头中包含的多个信息中,存在发送设备的MAC地址和目的的MAC地址。 MAC地址是用于唯一标识网络接口的48位二进制数。其中,MAC地址的最左边24位可用于识别接口的制造商。
在任何帧中,报头的源地址字段包含发送接口的MAC地址。 如前所述,802.11报头从不加密,因此源MAC地址在设备发出的所有帧中以明文形式提供。 如果Wi-Fi设备仅在连接到网络时发射帧,但实际上由于服务发现机制,即使它们未连接到连入点也会不断发送帧,这将是非常致命的。
2.1.2配置网络列表
大多数操作系统都会存储设备曾经连接到无线网络列表。 此列表称为已配置网络列表(CNL),包含网络的SSID及其安全功能等信息。 在Windows操作系统上,CNL存储在注册表中的以下位置:HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles。然而在GNU / Linux操作系统上,CNL存储在网络管理器中的以下位置:org.freedesktop.NetworkManagerSettings.Connection。
2.1.3 服务发现
Wi-Fi技术具有服务发现机制,允许AP站点发现范围内的接入点。服务发现的两种形式是可以共存的。第一个形式被称为被动服务发现,AP通过广播包含各种信息(SSID,安全特征)的beacon帧来周期性地告知它们的存在,而被动地监听那些信标以发现范围内的AP。第二形式称为主动服务发现,该站通过周期性探测具有探测响应帧的探测请求帧的邻域来发挥积极作用。
探测请求帧包括SSID字段以指定设备所寻求的无线网络。 Wi-Fi设备通过绕过CNL来探测之前已连接的网络。这样做,代表了设备以明文广播它们的接入网络历史。为了解决这种明显的隐私问题[8,11],网络中采用了一种新的约定:站点可以发送带有空SSID字段的探测请求;并且作为回报,即使SSID字段与其自己的SSID不匹配,AP也必须使用探测响应来响应它们,这种生成的探测请求称为广播探测请求。因此,设备不再显示其连接历史记录,但仍然会定期广播其MAC地址。
图2 被tshark截获802.11帧结构的例子
图2显示了802.11探测请求的内容,它会以明文形式广播了源MAC地址(00:23:14:a7:e0:dc)和目标MAC地址(ff:ff:ff:ff:ff:ff)。
2.2 Wi-Fi嗅探
如上所述,无线设备的MAC地址作为唯一标识可以确定我们要跟踪的目标。 事实上,无线设备的MAC地址会被多个系统收集和存储。
首先会被网络基础设施手机,它经常在连接到设备的设备上存储信息。例如,无线路由器的日志包括已连接的所有设备的MAC地址。这些日志包含与无线网络管理方面相关的事件(关联,身份验证,断开连接等),并且每个事件都将mac地址与时间戳相关联。
其次会被射频跟踪系统[13]记录相关信息,它专门用于跟踪目标的移动。这些系统基于一组传感器,这些传感器收集无线信号,随着时间的推移对个人的移动进行三角测量和跟踪。这些系统部署在购物中心,博物馆,道路等领域,提供有关移动模式和购物习惯的有价值信息。
同时我们还可以在犯罪分子,间谍,干扰者身上部署的跟踪系统。实际上,正如下一节所示,收集由个人无线设备发出的无线电信号不需要高级技能,也不需要昂贵的工具。因此,可以使用廉价的硬件和开源软件(如Snoopy [9])就可以轻松部署跟踪系统。
2.3 Wi-Fi嗅探工具
在无线通信协议中,安全性至关重要。因此,开发了许多渗透工具来测试无线网络的安全性。aircrack-ng [1]审计软件的套件就可以免费获得并进行广泛记录。除此之外,还开发了支持原始流量监控的驱动程序。与其兼容的无线接口再加上相关的监控模式驱动程序和aircrack-ng套件就足以捕获Wi-Fi流量并执行各种攻击。
图3捕获的Wi-Fi探测请求获得的信息示例
在这项工作中,我们使用了aircrak-ng套件和网络协议分析器tshark [3](wireshark的命令行版本)。我们设计了一个工具作为一个过滤器,捕获Wi-Fi设备的MAC地址以及其他私人信息,例如这些设备探测到的SSID。图3显示了匿名捕获的屏幕截图,显示了设备制造商,设备mac地址,接收信号强度以及数量和相关SSID列表范围内的每个设备。
值得注意的是,尽管使用的软件属于专为安全审计而设计的软件,被动收集这些信息不需要破坏任何加密或安全机制。事实上,这种信息就是以明文传输的;特别是MAC地址是从未加密。此外,这信息的重要部分(探测请求)指定了广播目标地址(ff:ff:ff:ff:ff:ff)
2.4 问题描述
正如我们刚才所见,无线设备会广播出大量信息。它们可用于跟踪个人的行踪和移动以及其他隐私的信息。无线监控工具就可以轻而易举的获得这些信息。同时市面上有利用这些信息来跟踪个人的系统。
在那些系统中,假设每个设备与个人相关联,并且设备的唯一标识符(MAC地址)用于识别相应的个体。但是,设备所有者的真实身份并不会存储在系统中,因此这些信息是不能直接用的。事实上,MAC地址充当被跟踪目标的假名。所以人们可以认为这对隐私的影响是有限的,因为与收集的信息一样私密,它永远不会与个人的真实身份相匹配。
我们关注的是找到真实身份与无线设备广播的MAC地址之间相关联的方法。如果可用,该信息可以与物理跟踪系统存储的数据相结合,以获得私人信息。或者说,它通过监视其设备发出的无线电信号,就可以简单地作为物理跟踪个人的方法。
3 初步调查结果
如前所述,设备的MAC地址是目标的唯一标识符。 在本节中,我们将重点放在收集这些唯一标识符上。我们的方法是研究它们的发射频率以及它们的最大捕获范围。 这些特征至关重要,因为它们决定了攻击者与攻击成功概率之间的最大距离。
3.1唯一标识符传输的频率
图4探测请求帧的Delta到达时间(a)Apple设备(b)三星设备
通过监视Wi-Fi信道并计算到达时间的增量,即所有接收到的探测请求帧之间的时间差异来研究发射频率。 这里有两种设备(Apple和Samsung智能手机)的结果如图4所示。对于这两种设备,可以定期观察峰值。 对于Apple设备,峰值出现在0,45,90这类45的倍数附近被观察到,而对于三星设备,峰值出现在0,30,60这类30的倍数。 这表示这些设备按一定时间广播探测请求帧。Apple设备的典型周期为45秒,而三星设备的典型周期为30秒。 其他设别的间隔时间可能有所不同。
3.2传播范围
Wi-Fi传输范围取决于发射器和接收器的特性。 我们在室外环境中测量了两款智能手机三星Galaxy SII和Apple iPhone 4S发出的帧可以通过DELL纬度E4310的嵌入式Wi-Fi接口接收。传播距离超过100米 三星设备和苹果设备超过30米。 这就确保了可以在相当长的范围内收集由Wi-Fi设备发出的帧。
4信标重播攻击
这种攻击的思路是通过一个组网络来识别设备。实际上,一组PIWN可以形成唯一的标识符,而不是可以关联到个人。 PIWN的一个例子就是家庭网络,工作网络。通过探测这种组网络,来触发个体设备的响应,该响应将揭示其与目标个体的连接。
我们建议通过利用802.11协议的服务发现机制来识别设备和网络之间的关联。更具体地说,通过模仿一些Wi-Fi网络,我们可以触发设备与组网络的响应[17]。我们可以通过重播其信标帧来实现Wi-Fi网络的无效化。实际上,当设备接收到已知网络(设备的配置网络列表中的网络)的信标帧时,设备将会自动连接,并且因此显示其MAC地址。
一些Wi-Fi设备通过主动服务发现机制揭示其无线网络的关联。在这个模式下,设备将在其配置的网络列表中发送包含无线网络SSID的探测请求(请参阅第2节)。对于这些设备,可能不需要通过重播信标来模仿无线网络,因为探测请求帧的被动监视可能足以识别设备和无线网络之间的关联。
这个方法的效率依赖于PIWN获取足够信息的能力。获得足够的PIWN知识以唯一地识别个人可能比较复杂。我们建议将此信息与用户的空间信息相结合。让我们考虑个人I,H的家庭住址。设NH是地址H可见的受保护无线网络。然后通过不同的位置(例如A的工作场所)重放对应于NH的信标,则只有A的设备将响应那些信标。我们注意到,最好将重点放在受保护的无线网络上,因为它们通常与开放网络中的用户群相关联。
如[10]
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[20136],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
