Wi-Fi MAC随机化–隐私和附带损害

Marcus Burton 云技术架构师 Published 7 Oct 2020

随着数据分析从滚雪球发展到雪崩,数据隐私计划已经站在个人和希望利用其数据的公司之间的空白中。众所周知,苹果一直以来都是一个强烈的隐私倡导者(他们的营销团队会一再告诉你),但是在iOS 14中,他们几乎把它提升到了一个全新的高度。

Mac随机化

众所周知,MAC地址是无线电芯片的“烧入”标识符,可以为它们提供世界唯一的地址。该芯片使用MAC地址进行网络通信,该地址以无线方式通过空中发送给所有人查看。由于这种独特性,MAC地址历来代表芯片本身,装有已安装芯片的设备以及随身携带该芯片的用户。因此,MAC地址是个人数据隐私的战场。

几年来,iOS和Android支持MAC随机化,这是一种动态更改用于无线通信的MAC地址的方法。在以前的版本中,MAC地址仅在设备的发现过程中才被随机分配,这是设备进行扫描以了解附近网络的方式。这阻止了大多数类型的设备/用户跟踪路人(或断开连接)的用户。但是,一旦设备连接到网络,该设备将仅且始终使用“真实” MAC地址。

什么’s New?

本文的原因是,苹果在其iOS 14的最初几个beta版本中引起了业界的恐慌,尽管最终的iOS 14版本没有beta那样积极的随机行为,但MAC随机世界正在发生变化,网络运营商正在不断变化。明智地遵循它。

在iOS 14中,Apple为所有Wi-Fi连接添加了MAC随机化,而不仅仅是扫描。对于每个唯一的SSID(无线网络),设备将选择一个新的随机地址,并将该私有地址用于网络(在Beta测试期间,该地址也每24小时随机分配一次)。默认情况下,专用寻址功能是启用的,但是可以由用户或通过管理员推送的网络配置文件禁用。

 图1:iOS 14专用MAC地址

苹果完全有可能合理地计划发布一种积极的随机算法,并且遭到业界的质疑。但是,我认为他们更有可能以只有Apple可以的方式扮演变革推动者的角色。通过戏弄攻击性行为,他们引起了所有人的注意,他们的目标是影响整个行业,以适应那些不太依赖MAC地址的操作范例。但是,这种变化将需要网络运营商花费时间。

尽管Apple在测试版中摇摇欲坠,但自Android 10.0起,Android在连接的会话中一直具有MAC随机行为。 Android默认为随机MAC,可以将其禁用,如下所示。

除操作系统制造商外,IEEE 802.11aq工作组还合并了MAC隐私保护功能。 802.11aq指出,MAC地址,OFDM数据加扰器,序列号,探测请求数据和其他属性都可以用来唯一标识设备。在协议中有解决此问题的方法,并且业界为提高个人隐私付出了更大的努力。 

请注意,MAC地址中的第二个十六进制值表示私有(软件生成的)地址。任何与以下模式之一匹配的地址都被视为私有:

  • x2:xx:xx:xx:xx:xx
  • x6:xx:xx:xx:xx:xx
  • xA:xx:xx:xx:xx:xx
  • xE:xx:xx:xx:xx:xx

诸如Extreme AirDefense之类的安全分析平台也应该能够识别设备是否正在使用私有地址。

所以呢’s the big deal?

老实说,目前还没有。避免危机。

但是,由于每个人都在努力评估附带损害,iOS 14 Beta在某些行业引发了一些恐慌。我之所以说“抵押品”,是因为Apple致力于隐私保护,他们将在未来继续优先考虑隐私保护。 MAC随机化的全部要点是模糊了状态跟踪的某些方面,这些方面可以识别行为模式,尤其是在可能指示用户活动的不同网络和场所之间。

随着隐私计划的推进(并且将会这样做),在用户体验和操作员工作流程中也可能会有副作用。请记住,MAC地址一直是可预测的长期设备标识符,这意味着网络生态系统工具,过程和连接范例通常围绕MAC地址构建。

所以这是重点。未来的MAC地址的行为可能与今天(或昨天)的MAC地址不同。您的作业是评估您的所有网络’依赖稳定和稳定的MAC地址的常见工作流程。然后重新考虑如果MAC地址不同或MAC定期更改(例如,每24小时),它们是否会起作用。立即开始重新装备,以免日后措手不及。以下是一些可帮助您入门的操作领域。

专属门户网站

强制门户是在初始网络连接期间(通常用于访客网络)呈现给用户的网页。它们用于传递法律条款和协议,用于访客/访客登录,捕获一些访客信息,以换取连接性以及出于身份验证/计费的目的,例如基于使用情况的热点。

在许多情况下,强制网络门户使用MAC地址作为设备锚,因此用户的授权状态已连接到MAC。如果MAC发生变化,基础架构将迫使用​​户再次通过门户,从而带来用户体验挑战。

由于不断变化的门户工作流有多种用法,因此很难给出具体的指导。一种考虑是考虑未由MAC加密的替代身份验证方案,例如802.1X证书工作流程(我知道,证书很可怕),Extreme的专用PSK或Hotspot 2.0。

MAC认证 

尽管MAC地址始终容易受到无线窃听和欺骗(由攻击者复制)的侵害,但某些系统仍使用MAC地址进行设备身份验证。在对安全性敏感的情况下,这种做法极少见,建议不要这样做,但仍然会发生。在某些公司环境中,IT结合使用802.1X用户身份验证和MAC身份验证来提供IT拥有设备的两因素身份验证。在这种情况下,可以避免MAC随机化问题,因为IT部门可以将配置文件推送到在入职期间禁用随机化功能的设备。仅是一个用于检查配置文件安装的框(一旦您的MDM或其他配置工具支持私有MAC切换)。另外,如果公司IT设备连接到多个SSID,请考虑按SSID随机分配MAC的影响。

在具有使用情况订阅(每月,每年,按计量)的某些公共访问网络中,使用计划可能是特定于设备的,其中MAC用于记帐工作流中以跟踪用户数据消耗。如果用户启用了专用寻址(或者专用MAC曾经更改SSID),则这些工作流程可能需要一种将帐户与设备关联的新方法。在大多数情况下,这些操作员将调整为其他身份验证形式(可能在Hotspot 2.0工作流程中),无论是用户名和密码,证书,应用程序,设备上的配置文件还是SIM。当然,他们可以通过向用户展示如何禁用该功能并坚持使用非私有地址来手动解决此问题。

设备分析

现在,我们终于可以对Apple感兴趣了。实际上,iOS 14的行为并没有很大地改变分析故事,但是有几点需要牢记:

  • 如果专用MAC地址发生变化,则新的MAC地址将被视为新的唯一设备,这会影响设备/用户的数量。
  • 专用地址不会映射到OUI数据库。 OUI是一种将MAC映射到设备制造商的简单机制,但是私有地址也会使该基本机制难以理解。   
  • 在扫描设备和连接的设备之间建立连接,例如识别具有“订婚”访客的特定访客,变得越来越不可能。但是可以说,这个参与跟踪用例无论如何都是更多的幻灯片软件。
  • 由于MAC对于给定的SSID保持不变,因此仍然可以衡量重复访客与新访客之间的关系,并最终将用户的活动随时间绑定到特定会话。

大多数其他在线状态分析都保持不变,例如占用率测量,用户密度,位置流数据-当然,只要我们可以将特定用户映射到随机MAC,我们都会获得更多收益。

提前考虑每天或每周轮换的MAC随机化,其中一项措施是让场地运营商专注于推动用户采用应用程序-当然,这是参与的圣杯。为了吸引用户,跟踪用户重复次数或提取信息,操作员可能必须使用设备上的应用程序来提高功能,从而为用户增加价值,这只会增加业务案例的进入成本。 

MAC注册

在某些运营商希望用户注册其设备的环境中,MAC地址通常被用作访问网守的一种简单形式。例如,在大学环境中,宿舍的学生可能需要注册不支持802.1X安全性的设备(打印机,游戏机,电视,IoT物品)。此外,在大学和其他多户住宅环境中,MAC注册数据库可用于私有网络安全,该网络允许用户访问自己的设备(类似于家庭网络),而又不会看到他人的设备。今天的主要挑战是确保注册时将私有MAC与可操作的SSID绑定在一起。这对工作流程非常重要,因为新加入的SSID可能与可操作的SSID不匹配,因此这些站点的专用MAC可能不同。此处另一个有用的选项是提供唯一的身份验证凭据,例如专用PSK。私有预共享密钥(PPSK)通过可以按用户策略的一部分组合在一起的唯一的按设备或按用户的PSK提供身份可见性。

目前,这可能不是一个普遍的问题,因为移动设备是主要的随机目标,并且它们确实支持灵活的身份验证机制。

MAC拒绝列表

Wi-Fi中也有一些工作流,系统会自动将访问拒绝规则应用于恶意行为,违反使用策略或反复失败身份验证的用户(或由管理员手动执行)。实际上,这些黑名单不会阻止坚定的攻击者或违法者。不过,它们仍然是网络管理员工具箱中的轻安全性工具,对于使用具有随机行为的平台的违规者而言,可能不再有效。 

故障排除

在连接故障排除工作流程中,MAC地址可能是IT部门开始使用产品工具,日志或数据包捕获进行故障排除的唯一标识符。手动获取MAC地址以进行故障排除并不是很方便,但是在某些情况下它可能是唯一的选择。实际上,在iOS 14中,Apple通过在连接实用程序中直接显示MAC地址,使解决此问题变得更加容易。每日随机化的beta行为几乎破坏了该工作流程,但最终的iOS 14版本使随机化的MAC地址可见。要找到MAC地址,只需打开Wi-Fi菜单,然后单击网络以查看私有地址。

进行长期规划,请确保围绕用户名,主机名或其他与策略相关的标识符构建连接故障排除工作流,以对特定设备进行故障排除。

基于MAC的策略

家用Wi-Fi路由器越来越多地支持时间和内容限制,这些限制可以应用于特定设备(例如孩子的手机)。这些策略由MAC地址强制执行。如果它们不再起作用,那是因为MAC现在是私有地址。此处的简单解决方案是禁用家庭网络功能。但是精明的年轻人可能只是重新启用该功能以绕过安全控制。因此,最好为实际地址和私人地址定义策略。

基于MAC的IP保留

我不希望看到很多用例中移动设备在DHCP服务器上保留了IP地址,但是这种情况可能会发生。 MAC地址是此功能的常用链接实体。据推测,这些用例具有IT监督功能,因此可以轻松地在设备上禁用此功能,或者可以将专用地址用于保留条目。

使用取证

在使用公共Wi-Fi进行在线犯罪的情况下,MAC地址是取证工具包的重要组成部分,可用于将设备与用户相关联。这类司法鉴定的法律因国家/地区而异,因此可能并非在所有地方均适用。同样,Beta实施删除了该用例,而iOS 14发行版则可以继续使用,只要您对实际地址和专用地址都进行取证,以防万一。

总结思想

这种对话就像是安全性与易用性的经典游戏。随着隐私的发展,该行业将需要进行调整。您可能会说MAC地址从未打算以我们今天使用它的所有方式使用。然而,超过20年以来,MAC地址已成为无线协议的可靠组成部分,并且围绕它已构建了20年的功能。苹果放弃了beta的实施,从而使网络运营商免除了很多痛苦,但我认为MAC随机化范例将不断变化。对于网络运营商来说,考虑(并开始为其设计)MAC地址不仅是私有的而且是定期旋转的世界是明智的。  

资源资源

Apple已针对此主题发布了简短的知识库页面: //support.apple.com/en-us/HT211227

将最新故事直接发送到您的收件箱!

相关企业故事