Wi-Peep: recursos de espionagem sem fio

Pesquisadores encontram uma nova maneira confiável de rastrear a localização de dispositivos

Em novembro de 2022, pesquisadores de universidades nos Estados Unidos e no Canadá demonstraram um método de localização de dispositivos Wi-Fi usando equipamentos baratos e fáceis de encontrar. A prova de conceito do ataque foi apelidada de Wi-Peep, pois pode ser usada para espiar dispositivos que se comunicam entre si via Wi-Fi. A pesquisa oferece uma nova visão sobre certos recursos das redes Wi-Fi e os riscos potenciais da localização do dispositivo. Devemos começar dizendo que os riscos não são muito altos – um ataque parece algo saído de um filme de Bond. Mas isso não torna a pesquisa menos interessante.

Os recursos de um ataque Wi-Peep

Antes de examinar o relatório em detalhes, vamos considerar um ataque da vida real. Os invasores pilotam um mini drone com o microcomputador mais barato a bordo ao redor de um edifício-alvo, coletando dados para obter um mapa de dispositivos sem fio internos com precisão razoável (± 1,5 metros em condições ideais). Mas por que eles iriam fazer isso? Bem, vamos imaginar que seja um banco ou um laboratório ultrassecreto cujos sistemas de segurança estejam equipados com módulos Wi-Fi. E aí está o seu “porquê”: a localização deles pode ser de grande interesse prático para invasores que planejam invasão física.

Esquema de ataque Wi-Peep simplificado. <a href="https://deepakv.web.illinois.edu/assets/papers/WiPeep_Mobicom2022.pdf" target="_blank">Fonte</a>.

Esquema de ataque Wi-Peep simplificado. Fonte.

Então, como os pesquisadores imitam algo assim?…

O ataque Wi-Peep explora dois recursos importantes de absolutamente qualquer dispositivo Wi-Fi, desde os antigos módulos sem fio de 20 anos atrás até os mais modernos. O primeiro é o mecanismo de economia de energia em dispositivos Wi-Fi. O módulo Wi-Fi, digamos, em um smartphone pode economizar bateria desligando o receptor sem fio por curtos períodos. Um ponto de acesso sem fio precisa considerar este modo de operação: seu roteador pode acumular pacotes de dados para um dispositivo específico e transmiti-los todos de uma vez quando sinalizar que está pronto novamente para receber uma transmissão.

Para um ataque bem-sucedido, um espião em potencial precisaria obter uma lista de endereços MAC – IDs de dispositivos exclusivos cujas localizações seriam determinadas posteriormente. Dispositivos na mesma casa, escritório ou hotel geralmente estão conectados a uma rede Wi-Fi compartilhada, cujo nome não é segredo. Descobriu-se que é possível enviar um pacote de dados falso, ostensivamente dessa rede sem fio compartilhada, informando a todos os dispositivos conectados que o buffer do ponto de acesso acumulou alguns dados destinados a eles. Em resposta a este sinal, os dispositivos enviam respostas que, quando analisadas, revelam os endereços MAC únicos de todos os dispositivos de rede quase instantaneamente. Mas há uma maneira mais simples: escutar o tráfego de rádio sem fio; no entanto, isso leva mais tempo: segundo os pesquisadores, você precisa acumular dados no modo passivo por 12 horas.

O segundo recurso explorável da troca de dados sem fio foi provisoriamente chamado de Wi-Fi Polite. Esse nome foi atribuído pelos autores de um estudo anterior de 2020. Em poucas palavras, a essência do recurso é esta: um dispositivo sem fio sempre responde a uma solicitação de endereço de outro dispositivo, mesmo que não esteja conectado a uma rede Wi-Fi compartilhada e mesmo que a solicitação não seja criptografada ou esteja deformada. Em resposta, o módulo Wi-Fi envia uma confirmação simples (“Seus dados foram recebidos”), mas isso acaba sendo suficiente para determinar a distância até o dispositivo que está respondendo. O tempo de resposta para recebimento de tal pacote é estritamente regulado e limitado a 10 microssegundos. Um invasor em potencial pode medir o tempo entre o envio de uma solicitação e o recebimento de uma resposta, subtrair esses 10 microssegundos e obter o tempo que o sinal de rádio leva para chegar ao dispositivo.

Qual é a resposta? Movendo-nos em torno de um dispositivo sem fio parado, podemos determinar suas coordenadas com um grau bastante alto de precisão, conhecendo nossa própria localização e a distância até o objeto de interesse. Grande parte da pesquisa é dedicada a superar as muitas dificuldades desse método. O sinal do transmissor de rádio Wi-Fi é constantemente refletido por paredes e outros obstáculos, dificultando o cálculo da distância. Na verdade, esse tempo de resposta padronizado deveria ser de 10 microssegundos, mas na verdade varia de dispositivo para dispositivo — variando de 8 a 13 microssegundos. A precisão da geolocalização do próprio módulo Wi-Fi dos invasores também tem um efeito: acontece que nem sempre a precisão dos sistemas de geoposicionamento (GPS, GLONASS, etc.) é suficiente. Embora os dados resultantes contenham muito ruído, se forem feitas medições suficientes, uma precisão relativamente alta pode ser alcançada. Isso significa que, se você fizer dezenas de milhares de leituras, obterá uma precisão de posicionamento com um erro na faixa de 1,26 a 2,30 metros — no plano horizontal. Na vertical, os pesquisadores conseguiram determinar o piso exato em 91% dos casos, mas nada além disso.

Ataque sofisticado de baixo custo

Embora o sistema para determinar as coordenadas dos dispositivos sem fio tenha se mostrado pouco preciso, ainda é interessante — até porque o equipamento usado pelos pesquisadores é baratíssimo. Teoricamente, um ataque pode ser realizado pessoalmente por um potencial espião, caminhando lentamente ao redor do objeto alvo. Para maior comodidade, os pesquisadores usaram um drone barato equipado com um microcomputador baseado no chipset ESP32 e um módulo sem fio. O custo total deste kit de reconhecimento (excluindo o custo do mini drone) é inferior a US$ 20! Além disso, é praticamente impossível rastrear o ataque no dispositivo da vítima. Ele usa os recursos padrão dos módulos Wi-Fi, que não podem ser desativados ou pelo menos modificados em termos de comportamento. Se a comunicação entre o dispositivo da vítima e o microcomputador do invasor for possível, em princípio, o ataque funcionará. O alcance prático da transmissão de dados por Wi-Fi é de dezenas de metros, o que na maioria dos casos é suficiente.

Implicações imprecisas

Se assumirmos que o ataque é factível na realidade, os dados obtidos são úteis? Os pesquisadores propõem vários cenários. Primeiro e mais óbvio: se soubermos o endereço MAC do smartphone de um indivíduo específico, podemos rastrear aproximadamente seus movimentos em locais públicos. Isso é possível mesmo que o smartphone não esteja conectado a nenhuma rede sem fio no momento do ataque. Em segundo lugar, criar um mapa de dispositivos sem fio em um prédio seguro (escritório de um concorrente, instalações bancárias) para um ataque físico subsequente é um cenário totalmente realista. Por exemplo, os invasores podem determinar a localização aproximada das câmeras de vigilância se elas usarem Wi-Fi para transmissão de dados.

Há também benefícios menos óbvios na coleta desses dados. Você poderia, por exemplo, coletar informações sobre o número de dispositivos Wi-Fi em um hotel para estimar quantos hóspedes existem. Esses dados podem ser de interesse dos concorrentes. Ou saber o número de dispositivos sem fio pode ajudar a determinar se as vítimas em potencial estão em casa. Até os próprios endereços MAC — sem coordenadas — servem para alguma coisa: para coletar estatísticas sobre o uso de smartphones em um local público. Além de espionagem e roubo, esses métodos são uma ameaça à privacidade das pessoas.

No entanto, o risco imediato de tal método ser implantado na prática ainda é bastante baixo. Isso se aplica a todos os ataques potenciais e métodos de coleta de dados para os quais você precisa se aproximar do objeto alvo. É bastante trabalhoso, o que significa que poucos o fariam em grande escala, e outros métodos podem ser mais eficazes para ataques direcionados. Ao mesmo tempo, a pesquisa científica ajuda a entender como recursos menores de tecnologias complexas podem ser aproveitados para fins maliciosos. Os próprios pesquisadores observam que o benefício real de seu trabalho será se esse pequeno risco de segurança e privacidade for eliminado em versões futuras de tecnologias de transmissão de dados sem fio.

Por enquanto, tudo o que podemos recomendar é usar um sistema contra drones. Não ajudará contra o Wi-Peep, mas pelo menos protegerá contra espionagem aérea.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?