aus dem Netzwerk Insider Dezember 2022
Diesen Titel haben Sie bereits im November bei unseren Blogs entdeckt. Mein Kollege Thomas Steil ließ die Frage am Ende unbeantwortet und stellte sie Ihnen und mir, den Lesern. Mir ließ die Sache keine Ruhe, berührt sie doch die Sicherheitsinteressen vieler unserer Kunden. Ich habe mir also die beiden zugrunde liegenden Veröffentlichungen [1] und [2] des Autors Ali Abedi durchgelesen. Das Ergebnis dessen, was ich verstanden habe, möchte ich Ihnen nicht vorenthalten. Worum geht es also?
Es geht um ein Element von WLAN, das so alt ist wie Funknetze. Genau genommen sogar wie jeglicher Funk: Man benötigt nämlich einen Rückkanal. Mit anderen Worten, der Sender einer Nachricht kann nicht feststellen, ob seine Nachricht den Empfänger (fehlerlos) erreicht hat, ohne dass der Empfänger ihm das bestätigt. Diese Bestätigung wurde im allerersten digitalen Funknetz (ALOHAnet) über eine separate Frequenz gesandt.
Bei WLAN gibt es diese Bestätigungen auch, nur werden sie auf derselben Frequenz ausgesandt wie das zu bestätigende Paket. WLAN hält zu diesem Zweck eine bestimmte Zeitspanne nach Aussendung eines Pakets frei (das Short Inter-frame Spacing, SIFS). Danach sendet der Empfänger seine Bestätigung (ACK). Das SIFS ist kürzer als die Wartezeit vor Aussendung eines neuen Pakets. Es ist also sichergestellt, dass nach jedem Paket ein ACK ungestört ausgesandt werden kann. Das SIFS ist übrigens außerordentlich kurz. Es beträgt 10 µs im 2,4-GHz-Band und 16 µs auf 5 GHz.
Der Autor der beiden genannten Veröffentlichungen hat festgestellt, dass WLAN-Endgeräte jedes Paket mit einem ACK bestätigen, wenn es als Ziel die MAC-Adresse des Endgeräts enthält. Er ist darüber verwundert und bezeichnet dieses Verhalten als „Polite Wi-Fi“, also etwa „höfliches WLAN“. Mich verwundert es nicht!
Erstens handelt es sich um eine Anforderung des WLAN-Standards IEEE 802.11. In Kapitel 10.3.2.11 der aktuellen Ausgabe 2020 lässt sich nachlesen, dass alle individuell adressierten Pakete – Unicasts also – nach einer Bestätigung verlangen.
Zweitens halte ich es für technisch gegeben: MAC-Zieladresse, einige Bits im Paket-Header und die im Rahmen des Cyclic Redundancy Check (CRC) quasi im Vorbeiflug errechnete Prüfsumme sind die einzigen Kriterien, anhand derer die WLAN-Hardware innerhalb von 10 µs eine Entscheidung für oder gegen ACK fällen kann. Weitergehende Prüfungen, wie z.B. eine Integritätsprüfung des verschlüsselten Paketinhalts, benötigen mehr Zeit und geschehen auf einer anderen Ebene der WLAN-Hard- oder Software.
Ich stimme also der Grundlage der genannten Veröffentlichungen zu. Wenn ich nur die MAC-Adresse eines WLAN-Endgeräts kenne, kann ich diesem Endgerät WLAN-Pakete zusenden und erhalte ACKs zurück. Ich kenne die Dauer meiner Pakete und die Wartezeit, nach der ACKs ausgesandt werden. Aus einer simplen Messung der Antwortzeit kann ich die Entfernung zum fraglichen Endgerät errechnen [3].
Der Autor hat dieses Konzept dazu eingesetzt, Endgeräte mittels Drohnen zu orten – sogar durch Wände hindurch. Wahrlich eine interessante Idee. Müssen wir uns vor – er nennt es „Wi-Peep“ – fürchten? Ich denke, nein!
Dass die WLAN-MAC-Adresse ein ungeschützter Teil der WLAN-Kommunikation ist, weiß man seit Langem. Wenn ich mit meinem WLAN-Endgerät durch die Lande reise und mich an irgendeinem Hotspot anmelde, kennt dieser meine MAC-Adresse. Schlimmer noch, es reicht schon aus, dass mein WLAN-Endgerät nach WLAN Access Points sucht, um diesen meine MAC-Adresse zu verraten.
Betreiber großer WLAN-Infrastrukturen – z. B. Hotspot-Provider – sind also prinzipiell in der Lage, mich zu „tracken“. Wenn – ja, wenn mein WLAN-Endgerät immer dieselbe MAC-Adresse verwendet. Bekanntlich ist das schon lange nicht mehr der Fall. Die überwiegende Mehrzahl der Endgeräte verschleiert die MAC-Adresse im WLAN. Bei Windows heißt dieses Feature „Zufällige Hardwareadresse“, bei iOS ist es die „Private WLAN-Adresse“ und bei Android können Sie das Feature gar nur für individuelle WLANs deaktivieren.
Der Autor schlägt im Übrigen eine Methode vor, mit der sich die Ortung mittels ACK grundsätzlich verhindern ließe. Man könnte das SIFS von ACK zu ACK um einen kleinen zufälligen Betrag verändern, also künstlich Jitter erzeugen. Eine Verschiebung der Antwortzeit in einem Intervall von ±1 µs ergibt rechnerisch einen Fehler von bis zu 150 m. Der Autor räumt jedoch ein, dass sich dies nur durch Hard- bzw. Firmware-Modifikationen der WLAN-Adapter realisieren lassen wird.
So möchte ich am Ende die Frage meines Kollegen Thomas Steil beantworten: Ja, ich kann dank WLAN durch Wände sehen. Doch nur, wenn man mir zuvor mitteilt, wer oder was dahinter zu sehen ist.
Referenzen und Verweise
[1] http://web.cs.ucla.edu/~omid/Papers/Hotnets20b.pdf
[2] https://dl.acm.org/doi/pdf/10.1145/3495243.3560530
[3] Letztlich kommt die Veröffentlichung [2] zum selben Ergebnis.