Location Finder op iPhone kwetsbaar voor locatie-spoofing

Afgelopen januari stond Skyhook Wireless in het middelpunt van de belangstelling: Steve Jobs legde uit hoe het mogelijk is om met Skyhook’s Wi-Fi-positioneringssysteem (WPS) je locatie te bepalen op de iPhone. De WPS-database bevat informatie over accesspoints over de hele wereld. Skyhook verzamelt de informatie zelf, aangevuld met data die gebruikers aanleveren. Professor Srdjan Capkun van het Zwitserse Federale Instituut voor Technologie (ETH) in Zürich heeft samen met teamgenoten onderzocht hoe het met de beveiliging van het Skyhook-positioneringssysteem is gesteld. En dat blijkt niet goed te zijn geregeld: het systeem blijkt kwetsbaar voor locatie-spoofing-aanvallen.

Om aan te tonen hoe het localisatieproces voor de gek kan worden gehouden, koos professor Capkun’s team voor een tweezijdige aanpak. Enerzijds werden accesspoints van een bekende ver weg gelegen locatie nageaapt. Daarna werden signalen van dichtbijzijnde accesspoints uitgeschakeld met een signal jammer. De apparaten dachten dat ze zich op een andere locatie bevonden.

Skyhook’s WPS herkent een accesspoint aan het MAC-adres, maar die blijkt gemakkelijk te vervalsen. Het jammen van signalen blijkt ook heel eenvoudig. Niet dat we ons nu meteen zorgen moeten maken, maar Capkun waarschuwt wel dat we voorzichtig moeten zijn bij deze WLAN-gebaseerde openbare localisatiesystemen. Bij toepassingen waar beveiliging en veiligheid van groot belang zijn, moet het gebruik worden beperkt. Kortom: recreatief gebruik is geen probleem, maar politieagenten en ambulancepersoneel kan beter een normaal gps-systeem gebruiken. De test werd uitgevoerd vlakbij het stadhuis van Zurich in Zwitserland, maar het localisatiesysteem dacht dat het zich in Manhattan bevond.

Via: Eurekalert
Meer info: Location spoofing