V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
winguse
V2EX  ›  信息安全

iOS 的 HotspotHelper 可以让支付宝和微信几乎实时定位用户

  •  5
     
  •   winguse · 2023-12-01 12:18:36 +08:00 · 4724 次点击
    这是一个创建于 387 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天我又想起了两年前的发现,想再引起一次公众注意,所以写了这篇文章

    HotspotHelper 可以在用户设备扫描附近 WiFi 接入点时激活,不仅仅是系统设置那里,哪怕设备被锁在口袋里也可以触发。App 籍此检索附近的 SSID 和它们的 MAC 地址,并将此信息传输到服务器端。 因此,如果应用程序开发人员希望,他们就可以几乎实时跟踪用户的位置。而用户对此过程毫不知情,并且他们无法禁用它。

    关于这个问题,几年前已经有相关的讨论了: https://v2ex.com/t/532660

    不过我在互联网上没啥声浪,不知道怎样才能让苹果赐予普通用户一个开关,关掉这个功能。

    16 条回复    2023-12-09 19:52:03 +08:00
    0TSH60F7J2rVkg8t
        1
    0TSH60F7J2rVkg8t  
       2023-12-01 12:34:55 +08:00
    关注,感觉天罗地网,个人要保护隐私太难了
    kyor0
        2
    kyor0  
       2023-12-01 12:43:12 +08:00
    不太了解 HotspotHelper 。把 wifi 关闭后也能获取么
    qq316107934
        3
    qq316107934  
       2023-12-01 13:17:13 +08:00
    一直知道这件事,只是因为不了了之没有后续所以没在关注了,支持再次提起,感觉就是苹果给开的后门
    qq316107934
        4
    qq316107934  
       2023-12-01 13:19:04 +08:00
    我想到的缓解方案就是在梯子软件的规则中将这两个软件 HotspotHelper 请求中涉及到的域名屏蔽掉,希望有好心人能测试下是那些域名。
    另外感觉有必要长时间抓包检测下手机锁屏的情况下都会向哪些域名传送数据。
    xixun
        5
    xixun  
       2023-12-01 13:46:44 +08:00 via iPhone
    前几年就看到了,目前只能用代理 app 切断网络连接,传输的数据都是强加密的也看不到
    vcn8yjOogEL
        6
    vcn8yjOogEL  
       2023-12-01 14:13:24 +08:00 via Android
    Android 需要开启位置才能读 WiFi, iOS 不需要吗?

    以及流量更是可以直接和运营商合作用基站定位, 这个你逃都逃不掉
    Locas56227
        7
    Locas56227  
       2023-12-01 15:29:56 +08:00 via iPhone
    你就别搁这儿造谣和制造焦虑了😅iOS 和安卓一样,想要获取 Wi-Fi 的 SSID 和 MAC 地址就必须要开启定位权限,而且还要精确定位权限,模糊定位也是获取不了的
    menc
        8
    menc  
       2023-12-01 15:46:45 +08:00
    @Locas56227 可是微信一般会给定位权限的请求的
    followNew
        9
    followNew  
       2023-12-01 16:54:49 +08:00   ❤️ 2
    微信这样的大厂,用户量这么大,用 IP 地址就能定位了。
    一个 IP 地址下面有一台开了定位的设备,把位置信息上传,其他用这个 IP 的设备不开定位,可以直接用 IP 去查询位置。
    用户体量足够大,就能很快更新 IP 地址的位置信息。
    很多通过改假定位,就你一台设备上传的定位和别人不一致,但是 IP 改不了,也能通过这种方式给识别出来。
    Ericality
        10
    Ericality  
       2023-12-01 17:07:24 +08:00   ❤️ 1
    @Locas56227
    引用自苹果:
    Important

    NEHotspotHelper is only useful for hotspot integration. There are both technical and business restrictions that prevent it from being used for other tasks, such as accessory integration or Wi-Fi based location. Before using NEHotspotHelper, you must first be granted a special entitlement (com.apple.developer.networking.HotspotHelper) by Apple. For more information, see Hotspot Helper Request.
    我没接触过 iOS 开发 但是看起来这个权限不需要用户授权 只需要苹果授权就可以了
    同时我在用大疆的设备的时候 在不给予定位权限的时候 app 依旧可以提示我连接附近的设备 连接的话下一步就是跳出提示是否连接到 WiFi-XXX 请问你是否确定这个权限一定要用户授权嘛?

    对于 op 这个问题 我研究过 无解 目前能做的就是把不常用的 流氓的 app 放到备用机 然后塞给他一个 esp32 热点机 每秒都产生随机数量的热点(带随机密码 名字的话做到随机或者像 CMCC 这种伪装在这些热点覆盖的位置)
    哦对了 还有更好玩的 假设这个是和定位权限绑定的 然后你没开定位 但是连接同一个 WiFi 的家人或者隔壁相似网络的邻居开了权限并且和你同时联网了 你猜会发生什么)
    此外还有阿里系的 app 可以在没有定位权限的情况下调用指南针获取你的位置
    所以只能说见招拆招+大众化自己吧 没办法 杀不完
    做到比别人还难被收集信息已经是不容易了
    deef
        11
    deef  
       2023-12-01 19:06:29 +08:00
    但实际上这个功能在微信上是有实际功能的,比如有的 WLAN SSDI 下面会有一行小字“使用腾讯手机管家连 WIFI”、“使用微信连 WIFI”,这个功能就是调用了 HotspotHelper 。

    支付宝真没见过他用。
    zzNucker
        12
    zzNucker  
       2023-12-01 19:55:33 +08:00
    根本不用这个玩意 想定位你简单的很
    Ericcccccccc
        13
    Ericcccccccc  
       2023-12-01 20:05:44 +08:00
    如果很担心这个, 那运营商可以实时定位手机岂不是更可怕. 你连了基站三角定位也是非常精准的.
    User2023
        14
    User2023  
       2023-12-01 20:19:19 +08:00   ❤️ 1
    你看我最近刚发的
    https://www.v2ex.com/t/996084
    bao3
        15
    bao3  
       2023-12-02 06:25:07 +08:00
    我感觉这玩意没啥影响。
    winguse
        16
    winguse  
    OP
       2023-12-09 19:52:03 +08:00 via iPhone
    @Locas56227 不需要。NEHotspotHelper 不需要依赖 CoreLocation 和用户的定位授权。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   994 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 18:38 · PVG 02:38 · LAX 10:38 · JFK 13:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.