史丹佛研究人員Elie Bursztein上周揭露他可利用公開的地理位置API蒐集微軟線上服務所儲存的裝置位置,隔天微軟即緊急修補該功能。
Bursztein表示,他分析Windows所紀錄的數據,發現可存取電腦所連結的位置、連網電腦的Mac address及最近的連結時間,其中,只要透過公開的地理API就能要求系統回報Mac address實際位置,因此,他先建立了一個OWADE地理模組,可用來蒐集Windows中的Wi-Fi資料並建立一個該電腦曾到訪之處的地圖。
由於IE使用支援W3C的的Live Location API,並可回覆對於MAC address的查詢,因此Bursztein設計了一個概念性程式來存取儲存於微軟資料庫中的MAC address,他發現此一API除了不需要密碼或金鑰外,也沒有任何的查詢限制,代表使用者可任意查詢該資料庫中的數據。Bursztein所開發的程式可透過微軟的資料庫中查詢使用者MAC address裝置的實際位置。
該資料庫源自於微軟提供線上服務的Live.com,外電引述微軟Windows Phone專案經理Reid Kuhn表示,微軟的確蒐集基地台與連至Wi-Fi網路的Mac address,以提供地區性服務,這些資料來自於街景車、筆電或手機,如果使用者選擇以行動裝置及Wi-Fi網路使用微軟服務,那麼Mac address就會成為微軟提供服務的一部份,由於這些行動裝置通常會移動,因此會移除並未位於固定位置的Mac address。
Bursztein的發現使得微軟於上周六(7/30)修改其地理位置定位服務,指出已更新過濾機制讓它驗證每個查詢,不再回覆所推斷的地理位置。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12