Wi-Peep: So funktioniert drahtlose Spionage

Forscher haben eine neue, zuverlässige Methode gefunden, um den Standort von drahtlosen WLAN-Geräten zu bestimmen.

Im November 2022 zeigten Forscher an Universitäten in den USA und Kanada eine Methode zur Lokalisierung von WLAN-Geräten unter Einsatz kostengünstiger und leicht erwerblicher Geräte. Das PoC des Angriffs wurde Wi-Peep genannt, da es zur Spionage von Geräten verwendet werden kann, die per WLAN miteinander kommunizieren. Die Forschungsergebnisse bieten neue Einblicke in bestimmte Merkmale von WLAN-Netzwerken und die potenziellen Risiken der Gerätelokalisierung. Vorneweg möchten wir sagen, dass diese Risiken nicht allzu hoch sind – und ein möglicher Angriff ähnelt eher einem Szenario aus einem Bond-Film. Aber das macht die Studie nicht weniger interessant.

Wi-Peep im echten Leben

Bevor wir genauer auf den Bericht eingehen, möchten wir zunächst einen Blick auf einen mögliches Angriffsszenario aus dem echten Leben werfen: Angreifer umfliegen mit einem Mini-Quadrocopter mit dem preiswertesten Mikrocomputer an Bord ein Zielgebäude und sammeln Daten, um eine Karte der drahtlosen Geräte, die sich im Gebäude selbst befinden, mit angemessener Genauigkeit (unter idealen Bedingungen ±1,5 Meter) zu erstellen. Aber warum sollten sie das tun? Stellen wir uns vor, dass es sich bei dem Gebäude um eine Bank oder ein streng geheimes Labor handelt, dessen Sicherheitssysteme mit WLAN-Modulen ausgestattet sind. Und schon haben wir die Antwort auf unsere Frage: Ihr Standort könnte für Angreifer, die in das Gebäude eindringen möchten, von großem praktischen Interesse sein.

Vereinfachtes Angriffsszenario von Wi-Peep.

 

Aber wie können Forscher ein solches Szenario nachahmen?

Wi-Peep-Angriffe nutzen zwei Hauptmerkmale aller WLAN-Geräte aus, die sowohl 20 Jahre alte Legacy-Radios als auch die jüngsten Marktneuheiten gemeinsam haben. Das erste Merkmal ist der Energiesparmodus für WLAN-Geräte. Das WLAN-Modul, z. B. in einem Smartphone, kann die Akkulaufzeit verlängern, indem es den Funkempfänger für kurze Zeit abschaltet. Ein drahtloser Zugangspunkt muss dies berücksichtigen: Ihr Router kann Datenpakete für ein bestimmtes Gerät deshalb sammeln und sie dann alle auf einmal übertragen, sobald ihm signalisiert wird, dass dies wieder möglich ist.

Für einen erfolgreichen Angriff müsste sich ein potenzieller Spion eine Liste von MAC-Adressen beschaffen – d. h., eindeutige Geräte-IDs, deren Standorte später ermittelt werden könnten. Geräte, die sich im selben Haus, Büro oder Hotel befinden, sind in der Regel auch mit einem gemeinsamen WLAN-Netzwerk verbunden, dessen Name kein Geheimnis ist. Erwiesenermaßen ist es möglich, ein gefälschtes Datenpaket zu senden, das angeblich von diesem gemeinsamen Drahtlosnetzwerk stammt und alle angeschlossenen Geräte darüber informiert, dass sich im Puffer des Zugangspunkts einige für sie bestimmte Daten befinden. Als Antwort auf dieses Signal senden die Geräte dann Antworten, die die eindeutigen MAC-Adressen aller Netzwerkgeräte preisgeben. Aber es gibt noch einen einfacheren Weg: Das Abhören des drahtlosen Funkverkehrs, was allerdings mehr Zeit in Anspruch nimmt. Den Forschern zufolge müssten 12 Stunden lang Daten im Passiv-Modus gesammelt werden.

Die zweite ausnutzbare Funktion des drahtlosen Datenaustauschs wurde vorläufig als Wi-Fi Polite betitelt. Dieser Name wurde von den Autoren einer früheren Studie aus dem Jahr 2020 vergeben. Im Grunde genommen geht es hierbei um Folgendes: Ein drahtloses Gerät antwortet immer auf eine Adressanforderung eines anderen Geräts, selbst wenn es nicht mit einem gemeinsamen WLAN-Netzwerk verbunden ist und selbst wenn die Anforderung nicht verschlüsselt oder fehlerhaft formuliert ist. Als Antwort sendet das WLAN-Modul eine einfache Bestätigung („Daten erhalten“), die ausreicht, um die Entfernung beider Geräte zueinander zu bestimmen. Die Antwortzeit für den Empfang eines solchen Pakets ist strikt reguliert und beträgt 10 Mikrosekunden. Ein potenzieller Angreifer kann die Zeit zwischen dem Senden einer Anfrage und dem Empfang einer Antwort messen, diese 10 Mikrosekunden abziehen und erhält auf diese Weise die Zeit, die das Funksignal benötigt, um das Gerät zu erreichen.

So können beispielsweise die Koordinaten eines stationären drahtlosen Geräts mit hoher Genauigkeit bestimmt werden, da wir unseren eigenen Standort und die Entfernung zum Objekt von Interesse kennen. Ein Großteil der Forschung handelt von der Überwindung der zahlreichen Schwierigkeiten dieser Methode. Denn das Signal des WLAN-Funksenders wird beispielsweise ständig von Wänden und anderen Hindernissen reflektiert, was die Berechnung der Entfernung erschwert. Tatsächlich sollte die standardisierte Reaktionszeit 10 Mikrosekunden betragen, aber in Wirklichkeit variiert sie von Gerät zu Gerät und liegt irgendwo zwischen 8 und 13 Mikrosekunden. Auch die Genauigkeit der Geolokalisierung des WLAN-Moduls der Angreifer selbst kann Auswirkungen haben und selbst die Präzision von Geopositionierungssystemen (GPS, GLONASS usw.) reicht nicht immer aus. Wenn die gewonnenen Daten eine Menge Rauschen enthalten, kann durch ausreichende Messungen trotzdem eine relativ hohe Genauigkeit erreicht werden. Das heißt, wenn man Zehntausende von Messungen durchführt, erhält man eine Positionsgenauigkeit mit einem Fehlerbereich von 1,26 bis 2,30 Metern – auf horizontaler Ebene. Auf vertikaler Ebene konnten die Forscher in 91 % der Fälle das genaue Stockwerk bestimmen, mehr aber auch nicht.

Günstige, aber raffinierte Angriffsmethode

Obwohl sich das System zur Koordinatenbestimmung drahtloser Geräte nicht als besonders genau erwies, ist es dennoch von Interesse – vor allem deshalb, weil das von den Forschern eingesetzte Equipment mehr als günstig ist. Theoretisch kann ein Angriff von einem potenziellen Spion persönlich ausgeführt werden, indem dieser einfach langsam um das Zielobjekt herumbewegt. Für zusätzlichen Komfort verwendeten die Forscher einen billigen Quadrocopter, der mit einem Mikrocomputer mit ESP32-Prozessor und einem Funkmodul ausgestattet war. Die Gesamtkosten dafür (Quadrocopter exklusive) betragen weniger als 20 US-Dollar! Darüber hinaus ist es unmöglich, den Angriff auf dem Gerät des Opfers auszumachen, da er die Standardfunktionen von WLAN -Modulen ausnutzt, die nicht deaktiviert oder zumindest nicht in ihrem Verhalten verändert werden können. Wenn die Kommunikation zwischen dem Gerät des Opfers und dem Mikrocomputer der Angreifer prinzipiell möglich ist, wird der Angriff funktionieren. Die praktische Reichweite der WLAN-Datenübertragung beträgt einige Dutzend Meter, was in den meisten Fällen ausreicht.

Unklare Folgen

Gehen wir davon aus, dass dieses Angriffsszenario im echten Leben umsetzbar ist: Was passiert dann mit den auf diese Weise gesammelten Daten? Die Forscher schlagen mehrere mögliche Szenarien vor. Wenn wir die MAC-Adresse des Smartphones einer bestimmten Person kennen, können wir ihre Bewegungen an öffentlichen Orten grob verfolgen. Das ist selbst dann möglich, wenn das Smartphone zum Zeitpunkt des Angriffs nicht mit einem drahtlosen Netzwerk verbunden ist. Darüber hinaus ist das Erstellen einer Karte der drahtlosen Geräte innerhalb eines Gebäudes (das Büro eines Konkurrenten, ein Bankgebäude) für einen späteren physischen Angriff ein vollkommen realistisches Szenario. So können Angreifer beispielsweise den ungefähren Standort von Überwachungskameras bestimmten, wenn diese WLAN für die Datenübertragung nutzen.

Die Erfassung solcher Daten bietet aber auch weniger offensichtliche Vorteile. So könnten beispielsweise Informationen über die Anzahl der WLAN-Geräte in einem Hotel dazu genutzt werden, um zu bestimmen, wie hoch die Gästebelegung derzeit ist. Solche Daten können für Konkurrenten interessant sein. Die Kenntnis der Anzahl der drahtlosen Geräte könnte zudem dabei helfen festzustellen, ob potenzielle Opfer zu Hause sind. Sogar die MAC-Adressen selbst – ohne Koordinaten – sind hilfreich, um Statistiken über die Smartphone-Nutzung an einem öffentlichen Ort zu erstellen.

Dennoch ist das unmittelbare Risiko, dass eine solche Methode in der Praxis eingesetzt wird, relativ gering. Das gilt übrigens für alle potenziellen Angriffs- und Datenerfassungsmethoden, bei denen man sich dem Zielobjekt stark nähern muss. Auf der einen Seite ist der Arbeitsaufwand hoch und daher für Massenangriffe nicht besonders gut geeignet; für zielgerichtete Angriffe hingegen sind andere Methoden deutlich effektiver. Dennoch hilft die wissenschaftliche Forschung zu verstehen, wie geringfügige Merkmale komplexer Technologien für böswillige Zwecke ausgenutzt werden können. Die Forscher selbst weisen darauf hin, dass der eigentliche Nutzen ihrer Arbeit darin bestehen soll, kleine Sicherheits- und Datenschutzrisiken in künftigen Versionen drahtloser Datenübertragungstechnologien zu beseitigen.

Derzeit können wir deshalb nur den Einsatz eines Anti-Drohnen-Systems empfehlen. Das hilft zwar nicht gegen Wi-Peep, aber zumindest gegen Spione, die sich Ihnen aus der Luft nähern.

Kaspersky VPN gewinnt den Leistungstest von AV-TEST und wird mit dem Siegel „Approved Virtual Private Network Solution“ ausgezeichnet.

Der Herr der VPNs

Kaspersky VPN Secure Connection ist klarer Testsieger in den Tests zu VPN-Leistung, Datenschutz und Transparenz, die vom unabhängigen IT-Sicherheitsforschungsinstitut AV-TEST durchgeführt wurden, und wurde als „Approved Virtual Private Network Solution“ ausgezeichnet.

Kaspersky VPN gewinnt den Leistungstest von AV-TEST und wird mit dem Siegel „Approved Virtual Private Network Solution“ ausgezeichnet.
Tipps