开启Wi-Fi就会泄漏身份信息，还有这种骚操作？-安全客

这段时间有些不太平，时不时就有人想搞个大新闻，一帮注水的专家在媒体采访时瞎科普，动不动就用安全漏洞来恐吓小白用户。如前几天广泛传播的“正在充电的手机,自动打开携程预定万元总统套房”，其实那根本就不是什么漏洞，只是因为用户使用了山寨充电器，充电电压不稳造成了屏幕乱点的问题。

这不，Wi-Fi领域好像又出现了一些问题：

我们之前有看到一些文章解读该事件，但是缺乏严谨，颇有软文之嫌，导致对事件的解读产生了一些“偏离”。虽然大部分Wi-Fi安全问题都与恶意Wi-Fi热点相关，但这个事件反而是没有太大的关联的。这些关键性错误包括：1. Wi-Fi广告路由和Wi-Fi探针是两种完全不同的设备。前者是无线热点，后者是无线设备扫描器；2. Wi-Fi探针与恶意Wi-Fi热点傻傻分不清。Wi-Fi探针的这些功能实际上都无需热点的存在，所以在该话题下介绍对恶意Wi-Fi热点的检测与防护是驴头不对马嘴。

于是，我们（PegasusTeam）决定本着客观、严肃的态度来聊聊这次的事件及Wi-Fi探针。

原文描述到“通过Wi-Fi扫描获取周围手机的MAC地址，随后便能匹配到用户的手机号及身份证、微博账号等其他个人隐私信息”。很多人看到这段描述被吓了一跳，为什么能获取到这么精准而隐私的个人信息呢。事实上，Wi-Fi探针只能获取到周边设备的MAC地址，而更多的信息是来自于其背后的数据关联。注：“MAC地址”是网络设备制造商在生产时写在硬件内部的一串地址，如同设备的身份证号码，具有唯一性。

Wi-Fi广告路由器与Wi-Fi探针

不知道为什么，许多文章把Wi-Fi广告路由器和Wi-Fi探针当成了同一种设备，给朋友们带来了很大的误导。对于他们的不专业我感到很抱歉，这实际上是两个不同形态的设备：前者会建立一个能展示广告信息的Wi-Fi热点，而后者只会被动扫描周边的无线设备。它们都能用来收集周围手机的MAC地址，不过使用目的有着很大的不同，同时也无法直接获取到用户的姓名、年龄、身份证号码等信息。

Wi-Fi广告路由器

顾名思义是用于广告宣传的无线路由器，为用户提供上网热点的同时，向用户展示广告、获取微信关注等。当用户连上Wi-Fi后会自动弹出商家预设的广告登陆界面，用户必须得填写某些信息进行认证，认证通过后才开通上网权限。（这项技术称为Captive Portal或者Portal认证，通过DNS重定向、HTTP重定向等方式来实现）

常见的认证形式有用户名密码认证、短信验证码认证、微信认证等，自动弹出的网页可以放置广告内容。利用微信的接口，可以设置成强制关注商家微信号才能上网，同时微信置顶将出现广告栏，达到“吸粉”的目的。

不过单纯的微信认证是无法获取到太多的隐私信息，有的会通过网页上的表单让用户主动输入来进行收集。

许多Wi-Fi广告路由器的产品还会在购买者不知情的情况下偷偷上传用户的认证信息。由于该类Wi-Fi广告路由器需求量大，全国各地都有广泛的客户，相当于买过他们设备的客户都在帮他们收集用户隐私数据。

Wi-Fi探针

所谓的“Wi-Fi扫描工具”其实就是Wi-Fi探针。前面的Wi-Fi广告路由器的功能需要用户连接上热点才有效，而Wi-Fi探针设备仅通过被动的监听就可以发现周边无线设备，做到客流统计、精准营销等需求，不再需要用户连接。当然，也不排除有厂家将这两功能进行融合，集成到同一个设备中。客流统计：利用无线设备MAC地址的唯一性（相当于身份证号码），通过收集MAC就可以进行客流统计。精准营销：通过MAC地址匹配到用户的手机号和其他个人信息，随后采取对应的精准营销方案。

目前主打精准营销概念的厂商主要利用人脸识别及Wi-Fi探针技术实现，精准营销通过采集到的MAC地址与第三方数据，如支付数据、会员数据、线上数据、地理位置等信息相融合，得出用户的完整画像，用于销售过程中的信息支撑。这种技术也是未来新零售的突破，目前实现的公司主要有京东之家、中科爱讯、友盟等等。

通过MAC地址关联用户个人信息

实际上Wi-Fi探针并不是什么新玩意，该技术七八年前在国外就已经很成熟了，在过去因为没有较大的危害，也没有产生大规模的谈论。而到如今能引起大家的关注，实际上是因为其结合了大数据的威力，通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。那么，由MAC地址关联到用户个人信息的数据是从何而来的呢？除了前面提到的售卖大量Wi-Fi广告路由器来收集数据外，还可能从第三方数据公司购买数据。在如今的“大数据时代”，对于诈骗电话能准确说出你的姓名、身份证号、家庭住址等信息大家都不再会过于惊奇，这些信息通过各种各样的灰黑产渠道被获取并贩卖，其中包含手机的MAC地址也是很正常的事了。

这些从事数据买卖交易的第三方数据公司，它们数据的来源都是秘密，根本不敢说，大部分都是非法买卖数据：

1.从小公司买APP的注册数据。APP注册时会收集到用户的MAC地址、手机号码、手机版本等信息。

2.从黑产从业人员购买。比如许多网站因为漏洞导致数据库泄露，这些数据很可能会被黑产广泛贩卖，其中就可能包含了用户的手机号、MAC地址、身份证号码等信息，甚至还可能有开房记录、密码等。

MAC地址随机化

前面提到，MAC地址是分配给终端设备网络接口的唯一硬编码和标识符，在生产过程中分配且通常无法更改，于是很多数据公司利用这一特性进行设备跟踪。针对这些行为，实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私：

2014年，苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”；
2016年，微软在Windows 10系统也加入了该功能，从而帮助保护用户隐私，防止基于通过设备MAC地址进行用户追踪；
Android对于MAC随机化比较特殊，在Android 5.0 Lollipop中也新增了这项新特性，但由于存在缺陷被大多数设备禁用。在Android P新版系统当中添加了此功能，但处于实验性功能，用户可以在开发者选项当中启用。

其实iOS、Android和Windows 10系统实现的MAC地址随机化技术有一些区别。iOS、Android系统终端设备只会在搜索附近可用的无线网络时才会使用随机生成的MAC地址，而当终端设备已经连接到无线网络后，终端设备会使用其原始的MAC地址。为了方便在本文中我们统称”半随机化”。

而Windows系统终端设备在连接到无线网络后，将继续使用MAC地址随机化技术。为了方便在本文中我们统称”全随机化”。

这样看起来Windows10提供的MAC地址随机化技术比iOS、Android更好。下面我来讨论为何有这两种实现方式：

很多企业都通过MAC地址对终端设备进行管理（类似于家庭路由器MAC地址白名单）。如果终端设备全随机化，会造成每次连接Wi-Fi的MAC地址都不相同，不具有唯一性的，企业就不方便进行统一管理了。

而iOS、Android采用了半随机化的方案，不用任何配置即可应对企业通过MAC地址管理终端设备的业务需求。

在Windows 10中，虽然采用了全程随机化的方案，但是针对特定的网络环境也可以手动禁用随机化功能。禁用之后，Windows操作系统将会使用设备原始的MAC地址来连接目标网络。你可以通过下图所示的操作步骤来对特定的网络进行相应的配置：

随机化技术的目的是为了防止追踪，那相应也有绕过随机化来获取到设备真实MAC地址思路。常见的绕过随机化手段有以下几种方式：iOS&Android：1.特性攻击：让目标设备处于连接状态，此时通信采用的都是真实MAC地址。如果目标没有连接上热点，我们可以利用”已知热点攻击”，创建常见的公共Wi-Fi热点名称如“CMCC”、“StarBucks”等，当目标自动连接到我们的热点后，随机化即失效，就能获得手机的真实 MAC 地址了；

2.漏洞攻击：RTS 帧攻击。2017年一份研究报告指出，可以利用 Wi-Fi 芯片处理低级控制消息的缺陷来获取设备真实MAC地址：通过向无线客户端发送RTS帧，其将会返回带有真实MAC地址的CTS回复信息。

Windows 10：

漏洞攻击：比如之前出现过一个设计缺陷，当设备的随机MAC地址改变时，Wi-Fi数据帧中的序列计数器并没有被重置。利用这些序列号信息，我们就能跟踪设备MAC地址，绕过MAC地址随机化的保护了。

追根述源

首先，我们想强调的是：安全不应该贩卖恐惧。通过Wi-Fi探针来获取个人隐私，主要是由于背后的那些“数据”所赋能的。如果基于这个MAC的终端设备从未在任何地方登记注册过，那么Wi-Fi探针也无从获取到任何信息。个人隐私的大规模泄露一部分来自于互联网公司因漏洞导致的数据库泄露，还有可能来自于各种厂商主动贩卖、交换用户数据。该事件还需要明确几个关键点：

1.Wi-Fi探针技术采用的是被动嗅探的方式。

这种被动嗅探的方式导致了Wi-Fi探针设备基本是不可被检测到的，用对付恶意Wi-Fi热点的解决方案是无法解决这个问题的。同时MAC地址随机化等防御措施的效果也并不理想。

2.Wi-Fi探针主要利用的是协议上的缺陷。

从MAC地址随机化等技术可以看到，主流操作系统的厂商都已经做了许多努力来尝试减少MAC地址追踪带来的危害。但这归根结底是由于Wi-Fi协议上的缺陷导致的，想要彻底解决依然得靠相关标准的更新。遗憾的是在WPA3的更新说明中并没有提到抵御设备跟踪的相关信息，我们将持续关注最新进展，并向Wi-Fi联盟提供相关建议。同时360作为路由器厂商之一，在新标准发布后迅速更新支持。

3.关闭Wi-Fi功能并不一定有效。

理论上关闭Wi-Fi后就可以避免遭受Wi-Fi探针设备的攻击，但实际上有的手机根本无法关闭Wi-Fi功能，虽然显示关闭了，依然会定时发送Wi-Fi广播包。

奇技淫巧

嘿，偷偷告诉你们哈，其实我们也曾通过Wi-Fi协议做过很多有趣事情，在不涉密的情况下，我分享下这些小玩意。

Wi-Fi生命探测仪

我偷偷搞到了老板手机的MAC地址，一旦老板到达公司就会被我们的Wi-Fi扫描仪监测到，并通过微信功能号接口推送告警提醒我们。😉

无人机监测

在消费级无人机设备中，大多数都使用了Wi-Fi模块用以在飞行器和手机间传输遥控、图传等信号。利用这些无人机特有的Wi-Fi指纹信息，我们就可以在出现的第一时间发现它们，如下图的大疆精灵3无人机：

关于我们

天马安全团队（PegasusTeam）隶属于360无线电安全研究院，团队在无线安全领域已耕耘多年，研究最前沿的无线攻击与防御技术，熟知国内外无线网络安全现状，并持续安全能力赋能到360公司无线产品之上。天马安全团队根据自身多年的攻防对抗经验，孵化出了国内首个无线入侵防御系统和基于无线网络的欺骗防御系统，并参与制定相关标准；加入了无线安全组织Aircrack-NG并发布知名无线安全测试工具MDK4，现已内置到Kali Linux中；众多安全研究成果入选了BlackHat USA/Europe、DEFCON、HITB、CodeBlue、KCon等国内外知名安全会议。除攻防研究外，团队还向众多国内外客户（领域涉及能源、金融、军工、部委、基础设施等）提供基于无线网络的近源渗透测试服务，并保持着100%的成功率；支撑了2015年央视3·15晚会Wi-Fi绵羊墙环节；为国家重大安保项目“两会”、“一带一路”等提供无线安全保障。