it-swarm.com.de

Wie vermeiden standortbezogene Apps, dass sie von emuliertem GPS betrogen werden?

Bei einigen Apps wie Foursquare muss der Benutzer an physischen Orten "einchecken", um Geldvorteile zu erzielen.

Angesichts der Tatsache, dass emuliertes GPS für angepasste Versionen von Android verfügbar ist, klingt es einfach, solche Apps auszutricksen.

Angesichts der finanziellen Anreize bin ich sicher, dass viele Menschen es versucht haben. Wie verhindern Apps also GPS-Betrug?

29
Nicolas Raoul

Es gibt viele Möglichkeiten, den Standort des Benutzers auf einem mobilen Gerät zu verfolgen (ich werde später darauf eingehen, wie das funktioniert).

Keine der Tracking-Methoden ist besonders leicht zu fälschen. Dies ist möglich, liegt jedoch einfach außerhalb des Bereichs des Durchschnittsbenutzers, da im Allgemeinen entweder ein modifiziertes Gerät (physisch oder programmgesteuert) oder eine externe Ausrüstung erforderlich ist.

Darüber hinaus ist es für Entwickler viel einfacher, mehrere Formen des Trackings mit einfacher Logik zu verknüpfen (dh Sie können innerhalb des Zeitrahmens y nur x-mal "einchecken"), als für einen Hacker, eine App wie foursquare zu fälschen und diese zu erhalten 5% Rabatt auf das Abendessen. Noch einmal, es kann getan werden, aber [meine Theorie ist] Bisher ist es für Hacker nicht wirtschaftlich.

Wie versprochen, sind hier einige der großen Technologien, die bei der geografischen Verfolgung eingesetzt werden:

  • GPS-Berichterstellung. Dies ist Ihnen wahrscheinlich am vertrautesten. Es ist der "teuerste" Bericht, da zum Lesen mehrerer GPS-Satelliten relativ viel Strom benötigt wird. Ein reines GPS-System wird heutzutage auf Mobilgeräten selten verwendet. GPS-Geräte können programmgesteuert gefälscht werden (indem der Anruf der Software an die Position des GPS-Fahrers geändert wird), auch ohne dass ein Gerät geändert werden muss ( wie hier zu sehen ).
  • GSM-Berichterstellung . Dies ist möglicherweise die häufigste Methode, mit der Ihr Standort den ganzen Tag über verfolgt wird, während Sie sich bewegen. Das Konzept ist einfach. Ihr Telefon mit normalen Nachrichten an die Mobilfunkmasten in der Nähe trianguliert Ihre Position zu einem bestimmten Zeitpunkt. Diese Methode ist ohne externe Hardware oder ernsthafte Änderung der Funktionalität Ihres Telefons äußerst schwer zu fälschen (dh wenn Sie einen Mobilfunkmast fälschen, werden Sie zwar geografisch nicht verfolgt, können aber auch keine Anrufe tätigen). Zusätzlich wird der Zellenverkehr verschlüsselt. Sie könnten möglicherweise den Zugangspunkt fälschen, an dem die Apps-Software mit dem Mobilfunk-Datentreiber des Telefons kommuniziert, aber das ist gelinde gesagt auch schwierig.
  • LAN-Berichterstellung. Dies ist ein ziemlich cooles Konzept, da es in Innenräumen ein hohes Maß an Genauigkeit bietet (was traditionell ein Problem war ). Dies erfordert viel Setup, ermöglicht es Apps jedoch zumindest, mit registrierten WLAN-Hotspots zu kommunizieren, um Ihren Standort anhand des WLANs zu bestätigen, mit dem Sie verbunden sind. Dies kann theoretisch gefälscht werden, hängt jedoch weitgehend von den Verschlüsselungsstufen für die Signatur der legitimen Verbindung ab.
  • WAN-Berichterstellung. Dies ist nichts weiter als eine einfache IP-Adressberichterstattung. Dies ist vielleicht am einfachsten zu fälschen, aber ich habe es der Vollständigkeit halber hier eingefügt, da es bei mobilfreundlichen Websites sehr häufig vorkommt.
  • Andere (Bluetooth, RFID, Inertial Navi, Experimental usw.) Es gibt noch einige andere Methoden. Einer meiner Favoriten ist Inertial Navigation wo es keine externen Übertragungen gibt (daher möglicherweise sehr schwer zu fälschen), da interne Sensoren und Karten verwendet werden, um Ihre Position zu ermitteln. Dies zeigt sich in Raketenleitsystemen sowie in einigen Apps. Life360 verwendet zum Beispiel eine Variation davon, da es sehr wenig Strom verbraucht (alle Sensoren sind bereits aktiv).

Andere Dinge, an die Sie sich erinnern sollten:

  • Entwickler können eine beliebige Anzahl dieser Technologien nutzen, wodurch es noch schwieriger wird, eine App zu fälschen.
  • Die meisten Standortdaten werden auf einem mobilen Gerät (und manchmal an vielen Orten) gespeichert, bis sie explizit gelöscht werden. Somit kann ein Entwickler (möglicherweise) auf frühere Standortdatenpunkte zugreifen. Wenn Sie also sagen, dass Sie heute 20 Mal bei Cafe Mama waren und die App einfach mit Siri spricht, um herauszufinden, dass Ihr letzter Geodatenpunkt 100 Meilen entfernt war, wird sich die App fragen ...
  • Die Strafverfolgung hätte eine weitaus größere Fähigkeit, Ihren tatsächlichen Standort zu bestimmen. Nur weil Sie möglicherweise eine App gefälscht haben, heißt das nicht, dass Sie Ihr Leben darauf wetten sollten (einige Kommentare an anderer Stelle deuteten darauf hin, dass Sie diese Fälschung schändlich einsetzen könnten, also dachte ich, ich ' d wirf das hier rein).
26
Matthew Peters

Für Ingress , Googles globales Kriegsspiel, werden eine Reihe von Anti-Spoofing-Maßnahmen verwendet. Google schweigt über die gesamte Reichweite, aber zwei, die demonstriert wurden, sind:

  • Geschwindigkeitsbegrenzung: Maximal 40 Meilen pro Stunde im Spiel erlaubt
  • Bestätigende Maßnahmen: Querverweise auf WLAN-SSIDs, die mit ihrer Standortdatenbank empfangen wurden
8
Rory Alsop

Die kurze Antwort lautet, dass es (soweit mir bekannt ist) nicht möglich ist, die Standortemulation auf offenen Plattformen (z. B. Android) perfekt zu stoppen. Andere restriktivere Plattformen (z. B. iOS/Windows Phone ohne Jailbreak) leiden weniger unter diesen Problemen, da sie den Benutzern nicht den gleichen Freiheitsgrad hinsichtlich der Arten von Anwendungen gewähren, die sie installieren können.

Softwareanbieter können versuchen, die Auswirkungen zu verringern und Personen zu erkennen, die diese Funktion falsch verwenden. Ein Weg, dies zu tun, könnte beispielsweise darin bestehen, die Positionen der Benutzer zu analysieren. Wenn sie sich zu schnell bewegen, nehmen Sie an, dass sie irgendeine Form von GPS-Spoofing/-Emulation verwenden.

3
Rory McCune

Meines Wissens ist die Art und Weise, wie Sie die Standorte fälschen, wie folgt:

1) Verwenden Sie den Entwicklermodus mit Scheinpositionen. Es gibt verschiedene Möglichkeiten, um zu erkennen, dass Sie den Entwicklermodus verwenden, sodass der Entwickler entscheiden kann, dass dem GPS in diesem Fall nicht vertraut werden soll. Sie verwenden also andere Methoden, um Ihren Standort zu finden, z. B. WLAN-Netzwerke.

2) Sie können Ihre Position fälschen, wenn Ihr Telefon gerootet ist, ohne den Modus für Scheinstandorte zu aktivieren. In einigen Fällen gibt es wiederum Möglichkeiten, zu erkennen, dass das Telefon gerootet ist, und der Entwickler kann erneut entscheiden, der GPS-Position nicht zu vertrauen.

Denken Sie daran, dass dies nur eine einfache Erklärung ist. Wenn Sie sehen möchten, wie einige Personen Scheinstandorte identifizieren, lesen Sie Folgendes: https://stackoverflow.com/questions/6880232/disable-check-for-mock-location-prevent-gps-spoofing

Bearbeiten: Ich wurde darauf aufmerksam gemacht, dass gerootete Geräte möglicherweise nicht immer so einfach oder überhaupt nicht erkennbar sind. Die zweite Version funktioniert möglicherweise, wenn der Stamm nicht erkannt werden kann.

1
sir_k

Der Schlüssel ist eine Herausforderung, die für diejenigen, die vor Ort sind, leicht zu beantworten ist und für diejenigen, die nicht da sind, nahezu unmöglich ist.

Eine einfache Validierung kann beispielsweise darin bestehen, die ID des Mobilfunkmastes und die verfügbaren WLAN-SSIDs am Ort zu kennen. Wenn Sie das Telefon zur Hand haben, ist die Antwort einfach und kann automatisch über das Programm erfolgen. Wenn Sie jedoch nicht da sind, ist die Beantwortung schwierig.

Aber nachdem jemand eine Karte davon erstellt hat. Es wird leicht zu fälschen sein.

Und ich kann mir keinen besseren Weg vorstellen, wenn die lokalen Immobilienbesitzer nicht beteiligt sind.

Wenn die lokalen Eigentümer beteiligt sind, können Sie auch einen Aufkleber oder einen kleinen Bildschirm mit einem Schlüsselwort in das Fenster des Shops einfügen und den Benutzer auffordern, ihn einzugeben, um seinen Standort zu überprüfen. Der Benutzer muss dort sein, um das richtige Wort einzugeben. Um das Zuordnungsproblem zu vermeiden, kann das Schlüsselwort häufig geändert werden.

1
Calmarius