Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 114
Пардно, промахнулся.
То есть получается публичный сервис для получения геокоординат по BSSID. Ну клево, чо.
Есть такой публичный сервис: tech.yandex.ru/locator/
И даже более того: developers.google.com/maps/documentation/business/geolocation/#wifi_access_point_object
И даже более того: developers.google.com/maps/documentation/business/geolocation/#wifi_access_point_object
и мозилла то же самое собирает location.services.mozilla.com/
Добавлю, что здесь данные открытые, и вы сможете скачать табличку с базовыми станциями и их координатами. Другой вопрос, если я не хочу, чтобы мою точку кто-нибудь находил.
Ну и напоследок, клиент Мозиллы открыт, можно брать и читать, что они там делают.
Ну и напоследок, клиент Мозиллы открыт, можно брать и читать, что они там делают.
Справедливости ради, у Гугла необходимо как минимум 2 точки доступа WiFi чтобы определить местоположение, что даёт хоть какую-то защиту. И ключик.
Ой. Мне почему-то казалось, что в таких сервисах есть хотя бы минимальные средства защиты.
Начинаю думать, что RMS с его паранойей не так уж и неправ. (Да, еще один все понял).
Начинаю думать, что RMS с его паранойей не так уж и неправ. (Да, еще один все понял).
Я как-то домой (в Свердловской области) с новым планшетом пришёл. А он у меня вдруг погоду в Новосибирске стал показывать на виджете :) А это просто я свой маршрутизатор на сессиях использовал в Новосибирске. Только там яндекс был ни при чём.
как бы закрыли ?
У вас устаревшая версия Яндекс.Метро, новая ничего подобного не отправляет.
Антон, отправляет.
Заголовок спойлера
Артём, вы в данном случае зачем-то реверс-инжинирите обращения к Яндекс.Локатору. Я ниже вам привёл официальный API, и там же приводят такой же API от Гугла.
В чём именно смысл поста?
В чём именно смысл поста?
Смысл в том, что я не хочу отправлять вам каждый раз при открытии любого приложения Яндекс сведения о своем местонахождении. Однако мне нравятся ваши приложения и я хочу ими пользоваться.
Сделайте, пожалуйста, возможность opt-out для своих служб геолокации, как это сделал, к примеру, Google.
Сделайте, пожалуйста, возможность opt-out для своих служб геолокации, как это сделал, к примеру, Google.
1. Гугл, насколько мне известно, сделал такой опт-аут для владельцев Wifi, а не для владельцев устройств. Я ошибаюсь?
2. Я вам ещё в прошлом посте сказал, что мы подумаем над такой возможностью, но пока не считаем её правильной. Вы не считаете, что мы можем сами решать этот вопрос?
3. Даже если такой опт-аут появится, Яндекс.Локатор работать не перестанет. Как opt-out связан с темой поста?
2. Я вам ещё в прошлом посте сказал, что мы подумаем над такой возможностью, но пока не считаем её правильной. Вы не считаете, что мы можем сами решать этот вопрос?
3. Даже если такой опт-аут появится, Яндекс.Локатор работать не перестанет. Как opt-out связан с темой поста?
1. Ошибаетесь. Гугл сделал и то и другое.
2. Мне кажется, сведения о моем местоположении вкупе с личными идентификаторами — это моя личная тайна. Я имею право на конфиденциальность.
3. Если бы вы сделали opt-out еще и для точек доступа, проблемы бы не было.
Кстати этим багом активно пользуются.
2. Мне кажется, сведения о моем местоположении вкупе с личными идентификаторами — это моя личная тайна. Я имею право на конфиденциальность.
3. Если бы вы сделали opt-out еще и для точек доступа, проблемы бы не было.
Кстати этим багом активно пользуются.
1. Ок, принято. Как я уже отвечал, мы подумаем над этим. Возможно, это действительно нужно сделать.
2. Что мешает вам на пользоваться в таком случае Яндекс.Метро?
Также, объясните, что именно вы считаете багом? Существование Яндекс.Локатора? Отсутствие opt-out?
Кажется, ни то ни другое под определение «бага» не подходят.
2. Что мешает вам на пользоваться в таком случае Яндекс.Метро?
Также, объясните, что именно вы считаете багом? Существование Яндекс.Локатора? Отсутствие opt-out?
Кажется, ни то ни другое под определение «бага» не подходят.
2. А чем это поможет? Мак моего роутера уже у вас в базе. Да и я уже говорил выше: мне нравятся ваши приложения.
3. Яндекс мог бы собирать не сами маки, а хэши (как делает Google). Яндекс мог бы не отвечать на простой запрос «скажи где живет пользователь», а требовать хотя бы API Key (как делает Google).
Давайте я скажу прямо. Ваш сервис активно используют те, кому эта информация для чего-то нужна. Используют уже много лет. Хватит уже.
3. Яндекс мог бы собирать не сами маки, а хэши (как делает Google). Яндекс мог бы не отвечать на простой запрос «скажи где живет пользователь», а требовать хотя бы API Key (как делает Google).
Давайте я скажу прямо. Ваш сервис активно используют те, кому эта информация для чего-то нужна. Используют уже много лет. Хватит уже.
У вас очень часть меняется желаемое.
Сначала вы хотели в Метро отписку от геолокации. Теперь вы хотите изменений в Яндекс.Локаторе, потому, что «используют много лет уже».
Более того, когда я вам отвечаю «мы подумаем над этим», вас ответ не устраивает.
Мне начинает казаться, что ваша цель — просто покритиковать.
Сначала вы хотели в Метро отписку от геолокации. Теперь вы хотите изменений в Яндекс.Локаторе, потому, что «используют много лет уже».
Более того, когда я вам отвечаю «мы подумаем над этим», вас ответ не устраивает.
Мне начинает казаться, что ваша цель — просто покритиковать.
а чем хеширование поможет? при использовании sha512 можно восстановить всю базу полным перебором за 6 дней используя лишь компьютер с видеокартой. Это даже без оптимизации с использованием базы префиксов производителей
Кстати, Google хэширует маки перед отправкой. Да и без API Key координаты не получишь. Что Яндекс на это ответит?
Парень упорно просит его похедхантить, предложите ему уже что-то :)
Ну и добавлю, что для того, чтобы по Wifi определять чьё-то местоположение не нужно ничего реверс-инжинирить, для этого есть Яндекс.Локатор, совершенно официальный: tech.yandex.ru/locator/
ну и я тогда ссылку оставлю: developers.google.com/maps/documentation/business/geolocation/#wifi_access_point_object
cURL запрос для Google Maps API, по аналогии как у автора в топике, можно указать несколько близлежащих WiFi точек, уровень их сигналов, для более точного позиционирования, ну и нужно вбить свой API_KEY с активированным Google Maps Geolocation API:
curl -i -s -k -X 'POST' -H 'User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.0.1; Nexus 5 Build/LRX22C)' -H «Content-Type: application/json» -d '{ «wifiAccessPoints»: [ { «macAddress»: «01:23:45:67:89:AB», «signalStrength»: -65, «age»: 0, «channel»: 11, «signalToNoiseRatio»: 40 } ] }' www.googleapis.com/geolocation/v1/geolocate?key=API_KEY
curl -i -s -k -X 'POST' -H 'User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.0.1; Nexus 5 Build/LRX22C)' -H «Content-Type: application/json» -d '{ «wifiAccessPoints»: [ { «macAddress»: «01:23:45:67:89:AB», «signalStrength»: -65, «age»: 0, «channel»: 11, «signalToNoiseRatio»: 40 } ] }' www.googleapis.com/geolocation/v1/geolocate?key=API_KEY
Это судьба. Смиритесь.
Facebook(как и большинство) предлагает людей, с которыми вы знакомы через 2, реже 3 рукопожатия. Даже если предположить, что ваша встреча с «намой цветочного имени» не была катализирована общими друзьями/увлечениями/работой, то все равно что-то общее у вас было, достаточное для «пары глиссандо». Что же удивительного, что вы вдруг стали знакомы через пару человек?
Работает!
Только показало координаты этой wifi-точки, а не телефона.
А что такое nlatitude и nlongitude?
Только показало координаты этой wifi-точки, а не телефона.
А что такое nlatitude и nlongitude?
anton, а можно этим пользоваться как api для выяснения координат wifi-точек?
Эм. Уязвимость в том, что узнав BSSID точки, например оказавшись с ней рядом или получив доступ к локальной сети, которую она обслуживает, можно узнать её примерные координаты? У меня для вас новость, можно было сразу GPS включить и текущее местоположение посмотреть.
Помогало бы оно пропавших людей находить. Было бы на багом, а фичей.
Это и так не баг — есть совершенно официальный API Яндекс.Локатора: tech.yandex.ru/locator/
Могу вам подкинуть задачку чуть сложнее. Точно таким же образом можно получить координаты точек из баз Apple и Microsoft (те, которые я лично реверсил). Никаких API ключей, банальный HTTPS POST запрос без клиентских сертификатов и certificate pinning. Более того, у Apple все даже серьезнее — вы им один MAC, а они вам в ответ координаты сотни точек вокруг искомой еще заодно кидают. Правда берегитесь, у Apple протокол бинарный, хоть и достаточно известный. Есть еще skyhook, но там надо ключ получить — зарегистрироваться на сайте и вперед, дампите их базу сколько влезет.
А по статье, я не понял, что вы хотели ей донести. Да, есть такие базы и их много. Более того, они открыты и все к ним имеют доступ. Есть базы для MAC'ов WiFi точек, есть базы для LAC-CID базовых станций. Все открыто и доступно даже без всякого реверсинга.
А по статье, я не понял, что вы хотели ей донести. Да, есть такие базы и их много. Более того, они открыты и все к ним имеют доступ. Есть базы для MAC'ов WiFi точек, есть базы для LAC-CID базовых станций. Все открыто и доступно даже без всякого реверсинга.
У Apple и Микрософт есть opt-out?
Микрософтом не пользуюсь лично, на эпл нет, насколько знаю. Если вам нужен opt-out, то просто не пользуйтесь вообще сервисами местоположения. Оставляйте выключенными. И то у меня нет уверенности, что системные компоненты перестанут использовать их (им то никто не запрещает естественно). Если они включены и какое-то приложение запросило доступ к координатам, то с большой вероятность в ближайшее время на сервера эпл отправится запрос на получение координат wifi точек и базовых станций. И делает это iOS когда ей вздумается, потому что у нее до сих пор в базах копится трек базовых станций и wifi точек с координатами, временнОй меткой и прочими полезными данными, за который так ругали эпл. Правда, сейчас его вроде бы так просто уже не вытащить.
И Apple и Микрософт предоставляют возможность opt-out, а так же анонимизируют собираемые сведения. Яндекс отправляет сведения вкупе с 3 различными идентификаторами при выключенной опции отслеживания местоположения при запуске практически любого своего приложения, отдаёт их любому в явном виде и не имеет опции opt out.
Надеюсь, теперь вам понятно что я хочу донести.
Надеюсь, теперь вам понятно что я хочу донести.
Поделитесь, пожалуйста, ссылкой на описание opt-out от геолокации по Wifi в Apple?
Нет яблочного девайса под рукой. Вот что нагуглил www.vcpost.com/articles/28524/20141003/iphone-6-tracking-software-–-heres-opt-out.htm
Кстати неделю назад смотрел трафик Яндекс.Метро для iOS. Пакетов с вайфай маками не увидел…
Кстати неделю назад смотрел трафик Яндекс.Метро для iOS. Пакетов с вайфай маками не увидел…
Ссылка, которую вы прислали, — совсем про другое. Она про сохранение геоданных в телефоне для таргетирования рекламы. Её включение не отключит геолокацию по Wifi и не даст удалить свой Wifi из базы.
При этом двумя постами выше вы уверенно заявили «и Apple и Микрософт предоставляют возможность opt-out».
Выглядит так, как будто вы манипулируете данными или просто врёте.
При этом двумя постами выше вы уверенно заявили «и Apple и Микрософт предоставляют возможность opt-out».
Выглядит так, как будто вы манипулируете данными или просто врёте.
Антон, у вас же iPhone! Зайдите в настройки и посмотрите
cdn.theunlockr.com/wp-content/uploads/2013/06/Location-Services-All-Apps.jpg
cdn.theunlockr.com/wp-content/uploads/2013/06/Location-Services-All-Apps.jpg
Вы продолжаете рассуждать на темы, в которых вы не в курсе. К чему эти настройки? Вас просят показать opt-out от геолокации по wifi. По вашей ссылке отключение всех сервисов местоположения для приложений — ни wifi, ни gps, вообще никакого местоположения. Это опять не в тему.
Может, тут тогда в тему? support.apple.com/en-us/HT201357
Crowd-sourced Wi-Fi and cellular Location Services
If Location Services is on, your device will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple to augment Apple's crowd-sourced database of Wi-Fi hotspot and cell tower locations.
Crowd-sourced Wi-Fi and cellular Location Services
If Location Services is on, your device will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple to augment Apple's crowd-sourced database of Wi-Fi hotspot and cell tower locations.
Я об этом и так вам уже сам рассказал в нескольких постах. Не меняйте тему. Речь об opt-out, которого, вопреки вашим словам, в iOS и Windows Phone нет. Вы рассказали про базу координат точек, на что последовало пояснение, что таких баз полно, и они в свободном доступе. На что вы опять сменили тему на какие-то идентификаторы. С такой непоследовательностью суждений вас просто невозможно понять. Еще и приводите ложные факты.
Opt-out от сбора Wi-Fi маков в iOS есть. Ссылку дал. Косвенное доказательство (Яндекс.Метро не шпионит за пользователями apple) привёл. Среди всех баз только Яндекс совсем никак не пытается защищать эти сведения. Пример обратного поведения Гугла привел. Что ж вы ещё от меня хотите?
Вы не дали ссылку. По вашей ссылке ничего такого нет.
Вы лишь так рьяно продолжаете обвинять Яндекс, что появляется подозрение, что это и есть единственная ваша цель — обвинить хоть в чём-нибудь.
Вы лишь так рьяно продолжаете обвинять Яндекс, что появляется подозрение, что это и есть единственная ваша цель — обвинить хоть в чём-нибудь.
Опять вы рассуждаете на тему того, чего не понимаете. На вашем скриншоте явно изображен iPad, у которого нет 3G модуля, а значит нет GPS. Wifi геолокация на нем это единственный источник местоположения, поэтому те настройки, по сути, только за эту wifi геолокацию и отвечают, хотя их реально назначение — полное отключение служб геолокации вне зависимости от источника данных. Если же мы возьмем устройство с GPS модулем, то те опции не изменят своего смысла, а будут работать по своему прямому назначению — они полностью отключат службы геолокации, что означает отключение и wifi, и gps геолокации. Еще раз прочтите, что от вас хотели? Спрашивали вполне ясно.
Посему, никакого opt-out нет на iOS и никогда не было. Никаких доказательств вы не привели, потому что их и быть не может — такой возможности в iOS не заложено. В Windows phone, судя по беглому просмотру, тоже ничего подобного нет.
Не «шпионит», потому что официальный API не дает доступа к MAC'ам точек вокруг. Читайте, пожалуйста, комментарии, раз. Если использовать private API, то никакое отключение служб геолокации не остановит вас от получения списка видимых базовых станций и точек доступа, а с ним и получения координат через сторонние сервисы. Это я тоже делал лично. Базовые станции может получить даже AppStore приложение любое. Другое дело, что за Private API могут отозвать приложение из магазина или чего хуже.
Тоже самое наблюдается у microsoft, которые точно так же собирают все идентификаторы вместе с точками. Читайте, пожалуйста, комментарии, два.
Посему, никакого opt-out нет на iOS и никогда не было. Никаких доказательств вы не привели, потому что их и быть не может — такой возможности в iOS не заложено. В Windows phone, судя по беглому просмотру, тоже ничего подобного нет.
Яндекс.Метро не шпионит за пользователями apple
Не «шпионит», потому что официальный API не дает доступа к MAC'ам точек вокруг. Читайте, пожалуйста, комментарии, раз. Если использовать private API, то никакое отключение служб геолокации не остановит вас от получения списка видимых базовых станций и точек доступа, а с ним и получения координат через сторонние сервисы. Это я тоже делал лично. Базовые станции может получить даже AppStore приложение любое. Другое дело, что за Private API могут отозвать приложение из магазина или чего хуже.
Среди всех баз только Яндекс совсем никак не пытается защищать эти сведения
Тоже самое наблюдается у microsoft, которые точно так же собирают все идентификаторы вместе с точками. Читайте, пожалуйста, комментарии, два.
1. В iOS можно отключить location services для конкретного приложения (что прекрасно видно на скриншоте). То есть Apple даёт отличную возможность защитить себя от шпионских приложений. За обход ограничений по вашим же словам можно заработать бан.
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
1. Да, эпл хорошая компания. Но вопрос таки ставили вам другой и ответа вы на него не дали.
2. Отправлять на inference.location.live.net/inferenceservice/v21/pox/GetLocationUsingFingerprint, POST запрос сжимается gzip. Шаблон взят прямиком из тестового кода.
По какой-то причине сейчас даже на заранее рабочие запросы приходит ответ, что координаты получить не удалось. Делал я это все года два назад, на Windows Phone 7 еще. Так что что-то вполне могло измениться.
2. Отправлять на inference.location.live.net/inferenceservice/v21/pox/GetLocationUsingFingerprint, POST запрос сжимается gzip. Шаблон взят прямиком из тестового кода.
<?xml version='1.0' encoding='UTF-8'?>
<GetLocationUsingFingerprint xmlns='http://inference.location.live.com' xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance' xmlns:xsd='http://www.w3.org/2001/XMLSchema'>
<RequestHeader>
<ApplicationId>00000001-7eba-4f0d-82e5-8f88bd1c2e8c</ApplicationId>
<DeviceProfile DeviceType='WM7' ClientGuid='00000000-0000-0000-0000-000000000000' OSVersion='7.10.7740.WM7_MangoSVC(mojobld).20111025-0013' LFVersion='2.0' ExtendedDeviceInfo='NOKIA/Lumia 800' Platform='QUALCOMM/ID 74 Rev 2.1/7X30A-16002479-AAAEQOWZM' DeviceId='31231231231412'/>
<Authorization/>
<TrackingId>e344b214-a9b3-a9a2-f9cf-e8cd09d434cd</TrackingId>
<Timestamp>" + new DateTimeOffset(DateTime.Now, TimeZoneInfo.Local.GetUtcOffset(DateTime.Now)).ToString("yyyy'-'MM'-'dd'T'HH':'mm':'sszzz") + @"</Timestamp>
</RequestHeader>
<BeaconFingerprint>
<Detections>
<Wifi7 BssId='{0}' rssi='{1}' />
</Detections>
</BeaconFingerprint>
</GetLocationUsingFingerprint>
По какой-то причине сейчас даже на заранее рабочие запросы приходит ответ, что координаты получить не удалось. Делал я это все года два назад, на Windows Phone 7 еще. Так что что-то вполне могло измениться.
Артем, вы один из разработчиков Яндекс.Локатора, верно?
Пакетов с вайфай маками не увидел…
Потому что на iOS доступа к такой информации официально нет. Доступен MAC и SSID только текущей точке, к которой подключено устройство.
Зачем тогда спрашивать? Раз вы знаете, то покажите мне пожалуйста, где я могу запретить своему айфону отправлять видимые сети и станции для получения местоположения. Чтобы только один GPS использовался. Ваша ссылка выше никакого отношения к этому не имеет, как уже пояснили.
Выключенная опция местоположения означает отключение системных служб. Приложение может при этом делать все что ему вздумается (в соглашении пользователя вас об этом любезно уведомили даже) в пределах тех прав, которые вы ему оставили. Если API дает доступ к маку и базовым станциям, то почему бы яндексу не определить местоположение через свои сервисы? Опция в настройках андроида к этому никакого отношения не имеет. Я решительно не понимаю, как можно проводить параллель между этими абсолютно не связанными явлениями.
Возвращаясь к статье, я не увидел даже намека на то, что вы хотели донести статьей вверху. Вы сделали для себя какое-то открытие что ли? Поздравляю, теперь вы знаете, что таких баз куча. Заодно сообщу, что microsoft точно так же с каждым запросом координат точек отправит тучу идентификаторов устройства — никакой анонимизации, то бишь, нет (я не понимаю, ради чего вы выдумываете факты? Я эти протоколы лично реверсил, поэтому прекрасно знаком с тем, что и куда уходит). За сервисами местоположения apple такого не замечал, да.
Выключенная опция местоположения означает отключение системных служб. Приложение может при этом делать все что ему вздумается (в соглашении пользователя вас об этом любезно уведомили даже) в пределах тех прав, которые вы ему оставили. Если API дает доступ к маку и базовым станциям, то почему бы яндексу не определить местоположение через свои сервисы? Опция в настройках андроида к этому никакого отношения не имеет. Я решительно не понимаю, как можно проводить параллель между этими абсолютно не связанными явлениями.
Возвращаясь к статье, я не увидел даже намека на то, что вы хотели донести статьей вверху. Вы сделали для себя какое-то открытие что ли? Поздравляю, теперь вы знаете, что таких баз куча. Заодно сообщу, что microsoft точно так же с каждым запросом координат точек отправит тучу идентификаторов устройства — никакой анонимизации, то бишь, нет (я не понимаю, ради чего вы выдумываете факты? Я эти протоколы лично реверсил, поэтому прекрасно знаком с тем, что и куда уходит). За сервисами местоположения apple такого не замечал, да.
К сожалению, под рукой у меня только Андроид и приложения Гугл. Поэтому буду утверждать про них.
Гугл даёт возможность opt-out как для пользователя так и для владельца точки доступа. Это важный шаг, который показывает уважение Гугла к личной тайне пользователей.
Гугл даёт возможность opt-out как для пользователя так и для владельца точки доступа. Это важный шаг, который показывает уважение Гугла к личной тайне пользователей.
Не уверен точно, но некоторые источники пишут что Location Services -> System Services -> Wi-Fi Networking как раз отвечает за эту отправку
Я вот тоже не уверен. Никаких пояснений от Apple нет, никакого запроса на opt-out так же.
Сейчас провел тест — отключил обе опции, которые намекают на отправку точек и базовых станций. Включил HTTPS прокси. Посыпались запросы на gs-loc.apple.com, но к сожалению SSL хэндшейк не проходит — возможно есть клиентский сертификат. Местоположение получить не получается, я в офисе, GPS тут не ловит.
Отключил HTTPS прокси, оставил просто логирование запросов. Опять пошли запросы на gs-loc.apple.com, но на этот раз все выполнилось и местоположение было получено с определенным радиусом. Так что, вопреки переключателям, данные явно улетают, поэтому непонятно, что же они все таки отключают.
Сейчас провел тест — отключил обе опции, которые намекают на отправку точек и базовых станций. Включил HTTPS прокси. Посыпались запросы на gs-loc.apple.com, но к сожалению SSL хэндшейк не проходит — возможно есть клиентский сертификат. Местоположение получить не получается, я в офисе, GPS тут не ловит.
Отключил HTTPS прокси, оставил просто логирование запросов. Опять пошли запросы на gs-loc.apple.com, но на этот раз все выполнилось и местоположение было получено с определенным радиусом. Так что, вопреки переключателям, данные явно улетают, поэтому непонятно, что же они все таки отключают.
Логика подсказывает что существует два разных запроса: «Я нахожусь в (x, y) и вокруг меня есть такие точки» и «Вокруг меня есть такие точки, где я?». И возможно та галка отключает отправку первого типа запросов, которые используются апплом для построения базы точек, но при этом второй тип можно отключить только выключив целиком location services, которые пытаются определить местоположение всеми доступными способами
А ещё есть сервис wigle. Не знаю насколько размеры его базы сопоставимы с базой локатора яндекса, но как дополнительный источник данных он вполне подходит.
Разработчики посчитали круглосуточную слежку багом и исправили. Тоже инфантильность?
Этот способ работает. Другие пробовал — не работают.
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
iOS позволяет индувидуально каждому приложению разрешить/запретить использование геолокации с помощью сбора мак-адрессов окружающих wi-fi точек (а равно и отсылку таких адрессов). Я привел все необходимые скриншоты и ссылки. Подробней будет только приехать и ткнуть носом в настройки лично. Контроль за отсутствием собственных функций геолокации осуществляется в AppStore жестко. За такое могут забанить.
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
ios позволяет запретить приложению использовать любую геолокацию, как уже примерно восемьдесят раз в этом топике вам сказали. Не разработчики приложений делают миллион бесполезных галочек, а apple. То, что андроид так без костылей не умеет — это вам надо писать в гугл
Опять вы врете. Ниодного доказательства с вашей стороны не было. Все выши скриншоты не имеют никакого отношение к вопросы.
Кажется вы совершенно не в состоянии понять, что вам пишут другие. Еще раз перечитайте мой пост — ничего подобного там не сказано. Более того, имея MAC и SSID текущей подключенной сети вы таки можете получить примерное местоположение и Apple скорее всего ничего вам на это не скажет.
Контроль за отсутствием собственных функций геолокации осуществляется в AppStore
Кажется вы совершенно не в состоянии понять, что вам пишут другие. Еще раз перечитайте мой пост — ничего подобного там не сказано. Более того, имея MAC и SSID текущей подключенной сети вы таки можете получить примерное местоположение и Apple скорее всего ничего вам на это не скажет.
Дабы этот диалог не продолжался бесконечно, я предлагаю вам опубликовать работающий скрипт-запрос (желательно curl) в Гугл, Apple, Микрософт на выдачу координат точки доступа по её BSSID'у. Запрос должен сразу работать у произвольного анонимного пользователя с произвольным MAC адресом, как это делает указанный мною в тексте статьи запрос на сервера Яндекса.
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
Согласны?
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
Согласны?
Я опубликовал вам реальный запрос из Windows Phone 7, который некоторое время назад работал и отправлял все, что вам так не нравится (он и сейчас работает, возвращает валидный ответ, что координаты получить не удалось). Хотите большего — изучайте тему и перестаньте голословно утверждать то, о чем вы не имеете малейшего понятия.
Хотите узнать как и когда apple что-то отправляет — изучайте. Я вам все рассказал и намекнул, публиковать здесь форматы бинарных пакетов у меня нет никакого желания.
А согласен я буду тогда, когда вы научитесь читать других и перестанете откровенно врать в ответ. Мы здесь все взрослые люди и если вам сказали, что что-то отправляется и протоколы были изучены, то скорее всего так оно и есть. Просить опубликовать так вот сходу результаты чужих исследований и ставить условия несколько некорректно, не находите? Если бы у меня было желание делиться этим со всеми, я бы давно поделился. Эти протоколы известны мне не один год.
Хотите узнать как и когда apple что-то отправляет — изучайте. Я вам все рассказал и намекнул, публиковать здесь форматы бинарных пакетов у меня нет никакого желания.
А согласен я буду тогда, когда вы научитесь читать других и перестанете откровенно врать в ответ. Мы здесь все взрослые люди и если вам сказали, что что-то отправляется и протоколы были изучены, то скорее всего так оно и есть. Просить опубликовать так вот сходу результаты чужих исследований и ставить условия несколько некорректно, не находите? Если бы у меня было желание делиться этим со всеми, я бы давно поделился. Эти протоколы известны мне не один год.
https://maps.googleapis.com/maps/api/browserlocation/json?browser=firefox&wifi=mac:ee-43-f6-d1-b6-90|ssid:12345|ss:-26&
«status»: «REQUEST_DENIED»
Надо по https:// и без реферера, наверное. У меня всё работает, по модулю того, что точка вымышленная и он выдает локацию по айпи. Парочки реальных точек достаточно для получения локации настоящего калифорнийца:
https://maps.googleapis.com/maps/api/browserlocation/json?browser=firefox&sensor=true&wifi=mac:00-14-bf-28-80-69|ssid:10160|ss:-26&wifi=mac:00-26-50-38-ca-11|ssid:2WIRE084|ss:-69
{
"accuracy" : 40,
"location" : {
"lat" : 37.3212486,
"lng" : -122.0277199
},
"status" : "OK"
}Теперь сработало, но выдает одно и то же чтобы я не вводил.
PS А вы случайно не из Сан-Хосе? :)
PPS В целом мимо. Ваш первый запрос у меня даже в Россию не попал (а точка точно из Краснодара).
PS А вы случайно не из Сан-Хосе? :)
PPS В целом мимо. Ваш первый запрос у меня даже в Россию не попал (а точка точно из Краснодара).
> по модулю того, что точка вымышленная и он выдает локацию по айпи
Надо пару настоящих точек, по одной локацию определять гугл не хочет
Надо пару настоящих точек, по одной локацию определять гугл не хочет
Точно абсолютно реальная и была общупана десятком андроид-устройств много раз. Проверил офисную свою — zero results.
Ещё раз, нужно несколько (>1) точек. В урле про Сан-Хосе их две. С одной не работает. Можно скачать фаерфокс, перейти по ссылке thedotproduct.org/experiments/geo/ и он сам сделает нужный правильный запрос к гуглу по тому же урлу, без всяких api ключей.
Хорошо, но это уже совсем другие условия задачи. Минимум 2 точки — это как раз неплохая защита от атаки, указанной в статье.
Да? Серьезно? У вас там написано:
Почти все маршрутизаторы умеют работать в режиме рипитера и, соответственно, показывать все окружающие их точки прямо в веб-интерфейсе, вместе с mac адресами.
Если у нас есть прямой доступ к ПК пользователя, то задача получения mac адресов окружающих точек ничуть не сложнее получения mac адреса активной точки.
Для этого необходимо с помощью известной XSS или CSRF уязвимости в прошивке домашнего роутера (раз, два, три и др) определить MAC адрес маршрутизатора пользователя (он же и будет BSSID Wi-Fi сети). Если у вас есть прямой доступ к ПК пользователя, то достаточно просмотреть ARP кэш на ПК с помощью команды «arp -a». Обычно первой строчкой в кэше идет MAC адрес шлюза по-умолчанию, который и будет искомым BSSID.
Почти все маршрутизаторы умеют работать в режиме рипитера и, соответственно, показывать все окружающие их точки прямо в веб-интерфейсе, вместе с mac адресами.
Если у нас есть прямой доступ к ПК пользователя, то задача получения mac адресов окружающих точек ничуть не сложнее получения mac адреса активной точки.
XSS/CSRF может не дать вам полный доступ к маршрутизатору, только раскрыть конфиг. Получить мак-адрес шлюза по-умолчанию на ПК значительно легче, чем просканировать вайфай сеть.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
> Получить мак-адрес шлюза по-умолчанию на ПК значительно легче, чем просканировать вайфай сеть.
Нет, ровно одна команда в терминале
> Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
Нет, не требуется, все параметры кроме адреса опциональны
Нет, ровно одна команда в терминале
> Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
Нет, не требуется, все параметры кроме адреса опциональны
Ну вот давайте возьмём первый пример из моей статьи. С помощью XSS в вебадминке злоумышленник получает MAC адрес маршрутизатора.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
У меня не получится взять ваш пример, потому что у меня нет роутера Verizon Westell UltraLine Series3, в прошивке которого samy нашел уязвимость, но, замечу, что он сообщает, что
То есть, вполне вероятно, что можно и вытащить адреса соседних сетей из веб-интерфейса.
Что касается использования двух адресов для защиты, то автор и про это упоминает:
Так вот, Артем, а вам не надоело изображать идиота?
This can be dangerous as it basically allows any web page to take full control of your router.
Prerequisites are that you're already logged into your router or that you're using default username/password. This specific example will simply alert your Wifi password to you.
This proof of concept could be extended to do worse, such as changing your wifi password, setting an admin password, or even installing malicious firmware onto your router. All of this by simply visiting a web page.
То есть, вполне вероятно, что можно и вытащить адреса соседних сетей из веб-интерфейса.
Что касается использования двух адресов для защиты, то автор и про это упоминает:
Unfortunately, shortly after my release of this attack (and presentations at Defcon/Blackhat / press), Google has both blocked my tool and altered their system to prevent this from working. It is still exploitable, however I will leave that up to the (motivated) reader.
Так вот, Артем, а вам не надоело изображать идиота?
По скрытым SSID ведь статистику местоположений собрать нельзя? Наверное, это и будет самой правильной защитой.
почему нельзя? ваш ssid особо и не нужен никому, собираются маки wi-fi карт беспроводных точек доступа
Значит надо заставить занести Mac WiFi в черный список. Как вариант — менять его каждый час (конечно не руками, скрипт справится). Можно еще что-то придумать, чтобы гарантированно попасть в blacklist…
Я считал, что когда скрывается SSID, отключаются все бродкасты с точки. Нет бродкастов — чужой человек не увидит точку. Разве не так?
www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure/
для wifif вы находитесь в общей среде, тут в принципе не возможно утаить факт передачи, а скрытый SSID никогда не был функцией безопасности
для wifif вы находитесь в общей среде, тут в принципе не возможно утаить факт передачи, а скрытый SSID никогда не был функцией безопасности
Пьеса в 2 актах.
Акт 1.
(5 лет назад)
Google, Яндекс, Apple (наперебой):
— Мы сделали новый сервис! Теперь вы можете определить ваше местоположение даже когда у вас не ловится GPS! Для этого мы используем идентификаторы сотовых вышек и точек доступа WiFi.
Пользователи (хором):
— Ура! Как круто! Молодцы! Покупаю!
Акт 2.
(10 февраля 2015 года)
merced2001:
— Ужас-ужас! Оказывается, они могут определить местоположение зная мак-адрес WiFi точки доступа! За нами следят!
Акт 1.
(5 лет назад)
Google, Яндекс, Apple (наперебой):
— Мы сделали новый сервис! Теперь вы можете определить ваше местоположение даже когда у вас не ловится GPS! Для этого мы используем идентификаторы сотовых вышек и точек доступа WiFi.
Пользователи (хором):
— Ура! Как круто! Молодцы! Покупаю!
Акт 2.
(10 февраля 2015 года)
merced2001:
— Ужас-ужас! Оказывается, они могут определить местоположение зная мак-адрес WiFi точки доступа! За нами следят!
Резюмирую:
У меня нет мобильного телефона (никакого :), планшета и аккаунта на яндексе. Как мне запретить распространять местоположение моей wifi-сети по ее маку?
У меня нет мобильного телефона (никакого :), планшета и аккаунта на яндексе. Как мне запретить распространять местоположение моей wifi-сети по ее маку?
Добавьте "_nomap" к SSID'у и Гугл вас забудет support.google.com/maps/answer/1725632?hl=en
Для Яндекса — пока никак.
Для Яндекса — пока никак.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Шпионим за всеми с помощью Яндекс.Метро