Ну вот давайте возьмём первый пример из моей статьи. С помощью XSS в вебадминке злоумышленник получает MAC адрес маршрутизатора.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
XSS/CSRF может не дать вам полный доступ к маршрутизатору, только раскрыть конфиг. Получить мак-адрес шлюза по-умолчанию на ПК значительно легче, чем просканировать вайфай сеть.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
Дабы этот диалог не продолжался бесконечно, я предлагаю вам опубликовать работающий скрипт-запрос (желательно curl) в Гугл, Apple, Микрософт на выдачу координат точки доступа по её BSSID'у. Запрос должен сразу работать у произвольного анонимного пользователя с произвольным MAC адресом, как это делает указанный мною в тексте статьи запрос на сервера Яндекса.
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
iOS позволяет индувидуально каждому приложению разрешить/запретить использование геолокации с помощью сбора мак-адрессов окружающих wi-fi точек (а равно и отсылку таких адрессов). Я привел все необходимые скриншоты и ссылки. Подробней будет только приехать и ткнуть носом в настройки лично. Контроль за отсутствием собственных функций геолокации осуществляется в AppStore жестко. За такое могут забанить.
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
Этот способ работает. Другие пробовал — не работают.
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
Там базы собираются, в основном, с помощью вардрайвинга. Соответственно точность и покрытие на порядок меньше, чем у Яндекса. Ну и API мудрённый + тормоза страшные.
1. В iOS можно отключить location services для конкретного приложения (что прекрасно видно на скриншоте). То есть Apple даёт отличную возможность защитить себя от шпионских приложений. За обход ограничений по вашим же словам можно заработать бан.
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
Opt-out от сбора Wi-Fi маков в iOS есть. Ссылку дал. Косвенное доказательство (Яндекс.Метро не шпионит за пользователями apple) привёл. Среди всех баз только Яндекс совсем никак не пытается защищать эти сведения. Пример обратного поведения Гугла привел. Что ж вы ещё от меня хотите?
Может, тут тогда в тему? support.apple.com/en-us/HT201357
Crowd-sourced Wi-Fi and cellular Location Services
If Location Services is on, your device will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple to augment Apple's crowd-sourced database of Wi-Fi hotspot and cell tower locations.
К сожалению, под рукой у меня только Андроид и приложения Гугл. Поэтому буду утверждать про них.
Гугл даёт возможность opt-out как для пользователя так и для владельца точки доступа. Это важный шаг, который показывает уважение Гугла к личной тайне пользователей.
Для Яндекса — пока никак.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
PS А вы случайно не из Сан-Хосе? :)
PPS В целом мимо. Ваш первый запрос у меня даже в Россию не попал (а точка точно из Краснодара).
Когда у вас будут факты, мы обязательно к нему вернемся.
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
Согласны?
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
Сделайте, пожалуйста, такой же в Яндекс.Метро!
Crowd-sourced Wi-Fi and cellular Location Services
If Location Services is on, your device will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple to augment Apple's crowd-sourced database of Wi-Fi hotspot and cell tower locations.
Гугл даёт возможность opt-out как для пользователя так и для владельца точки доступа. Это важный шаг, который показывает уважение Гугла к личной тайне пользователей.