Hệ thống định vị Wi‑Fi cho phép theo dõi vị trí chính xác

 (amoses.dev)
21 điểm bởi GN⁺ 2025-11-22 | 1 bình luận | Chia sẻ qua WhatsApp
  • Yêu cầu cấp quyền vị trí của trình duyệt không chỉ là ước tính vị trí dựa trên IP đơn thuần, mà còn thực hiện đo vị trí chính xác bằng thông tin điểm truy cập Wi‑Fi xung quanh
  • Trong quá trình này, trình duyệt thu thập dữ liệu như SSID, BSSID, cường độ tín hiệu (RSSI) rồi đối chiếu với cơ sở dữ liệu của các nhà cung cấp dịch vụ như Google
  • Các cơ sở dữ liệu này được xây dựng thông qua hoạt động wardriving trong quá khứ và việc thiết bị người dùng liên tục gửi dữ liệu
  • Đã nhiều lần nổ ra tranh cãi về xâm phạm quyền riêng tư, như vụ xe Google Street View từng thu thập dữ liệu không mã hóa
  • Ngày nay hầu hết thiết bị đều mặc định sử dụng hệ thống này, và có thể đăng ký BSSID hoặc thêm ‘_nomap’ vào SSID để loại trừ (opt-out)

Hệ thống điểm danh và xác minh vị trí

  • Nền tảng TopHat được dùng trong lớp thuật toán tại Đại học Wisconsin xác minh vị trí thực tế của sinh viên để điểm danh
    • Ngoài việc chỉ nhập mã điểm danh, tính năng “Secure Attendance” còn dùng thông tin vị trí của thiết bị để xác định sinh viên có ở gần giảng đường hay không
  • Vì ước tính vị trí dựa trên IP có sai số lớn, TopHat sử dụng Geolocation API của trình duyệt
    • API này yêu cầu quyền rõ ràng từ người dùng và có thể xác định vị trí với độ chính xác ở mức vài mét

Cách Geolocation API hoạt động

  • Geolocation API tận dụng nhiều nguồn như GPS, IP, Wi‑Fi, nhưng với thiết bị không có GPS như laptop thì Wi‑Fi Positioning System (WPS) là phương thức được dùng chủ yếu
  • Khi gọi getCurrentPosition(), trình duyệt sẽ thu thập SSID, BSSID và cường độ tín hiệu của các AP Wi‑Fi xung quanh
    • BSSID là định danh duy nhất dựa trên địa chỉ MAC, nhờ đó có thể phân biệt nhiều mạng có cùng SSID
  • Thông tin thu thập được sẽ được gửi tới các nhà cung cấp dịch vụ định vị như Google để tính toán vị trí chính xác bằng cách so sánh với dữ liệu đã tích lũy từ trước

Lịch sử định vị Wi‑Fi và thu thập dữ liệu

  • Bắt đầu từ kỹ thuật wardriving được Skyhook Wireless thương mại hóa vào đầu những năm 2000
    • Xe được gắn bộ thu GPS sẽ ghi lại vị trí và cường độ tín hiệu của các mạng Wi‑Fi xung quanh trong lúc di chuyển
  • Sau đó Google thu thập thông tin Wi‑Fi bằng xe Street View, còn Apple và Microsoft cũng chuyển sang cách tự động thu thập từ thiết bị người dùng
  • Ngày nay, phần lớn smartphone và laptop khi bật dịch vụ vị trí sẽ gửi thông tin Wi‑Fi xung quanh về máy chủ của nhà sản xuất, và dữ liệu này được dùng để ước tính vị trí của các thiết bị khác

Tranh cãi về quyền riêng tư và bảo mật

  • Năm 2010, việc Google dùng xe Street View để thu thập khoảng 600GB dữ liệu HTTP không mã hóa bị công khai và gây tranh cãi
  • Cũng từng có báo cáo về trường hợp có thể khôi phục lộ trình di chuyển của người dùng do lỗi trong API định vị của Microsoft
  • Trong nghiên cứu năm 2024 của Đại học Maryland, người ta đã có thể trích xuất vị trí của khoảng 2 tỷ BSSID bằng cách khai thác điểm yếu trong dịch vụ định vị của Apple
    • Thông tin này có thể bị lạm dụng để theo dõi cá nhân hoặc giám sát sự di chuyển của dân số
  • Sau đó, các công ty lớn đã tăng cường bảo mật API và cung cấp tính năng thêm ‘_nomap’ vào SSID hoặc đăng ký BSSID để loại trừ khỏi cơ sở dữ liệu

Kết luận và cơ sở dữ liệu công khai

  • Công nghệ này được gọi là Wi‑Fi Positioning System (WPS) và hiện vẫn đang được sử dụng rộng rãi
  • wigle.netcơ sở dữ liệu công khai dựa trên crowdsourcing đã thu thập khoảng 2 tỷ mạng trong 25 năm, cho phép người dùng kiểm tra xem mạng của mình đã được đăng ký hay chưa
  • beacondb.net là cơ sở dữ liệu vị trí không dây thuộc public domain, cung cấp bộ dữ liệu độc lập khác với các dịch vụ thương mại
  • Lý do laptop có thể xác định vị trí chính xác là nhờ dữ liệu Wi‑Fi do vô số người dùng vô thức cung cấp
  • Ngay cả việc điểm danh trên lớp cũng đang hoạt động dựa trên kết quả của sự tích lũy dữ liệu tập thể này

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-22
Ý kiến trên Hacker News

  • Tôi đã cố định vị trí trong phần thiết lập Firefox vào một nơi cụ thể gần nhà
    user_pref("geo.provider.network.url", 'data:application/json,{"location": {"lat": 45.0, "lng": -122.0}, "accuracy": 128.0}');
    Làm vậy thì tôi tin rằng dữ liệu Wi-Fi sẽ không bị rò rỉ ra ngoài

    • Có nhiều tùy chọn để vô hiệu hóa hoàn toàn trên macOS, Linux và toàn bộ tính năng
      Ví dụ cần đặt geo.provider.use_corelocation, geo.provider.use_geoclue, geo.enabled thành false
      Ngoài ra cũng có thể cần đặt geo.provider.testing thành true
      Liên kết tham khảo: vấn đề Bugzilla, StackOverflow, Security StackExchange
    • Có plugin LocationGuard cho phép điều chỉnh độ chính xác vị trí theo từng trang web
      Phiên bản Chrome, phiên bản Firefox

  • Hồi trước khi làm ở một công ty cạnh tranh với Zoom, chúng tôi từng thử nghiệm một tính năng để phát hiện xem người tham gia có ở cùng một phòng hay không
    Mỗi laptop sẽ phát ra một âm thanh tần số cao riêng và lắng nghe tín hiệu của nhau
    Trong phòng thí nghiệm thì hoạt động tốt, nhưng ngoài thực tế thì thất bại. Dù vậy vẫn là một thử nghiệm thú vị

    • Mọi người nên học những phép lịch sự cơ bản. Họp video mà không đeo tai nghe thì đúng là điên rồ
      Tiếng ồn nền, tiếng vọng, âm từ loa... làm cuộc họp trở nên hỗn loạn
    • Microsoft Teams cũng hỗ trợ phát hiện hú rít bằng siêu âm
    • Google Meet cũng cung cấp tính năng tương tự
    • Việc phát ra tần số cao có thể gây hại cho tai
      Bài viết liên quan: Science.org
    • Cisco Teams/Webex cũng từng có tính năng dùng siêu âm để phát hiện người tham dự trong phòng họp

  • Gần đây tôi có làm một CLI nhỏ tên là where-am-i
    Liên kết GitHub
    Vì GPS trong nhà quá tệ, tôi thấy những công nghệ định vị địa lý như thế này thực sự hữu ích

    • Tôi thắc mắc tại sao lại cần GPS trong nhà. Chẳng phải đa số trường hợp bạn đã biết mình đang ở đâu sao?
    • Trên Linux cũng có một bản demo là /usr/libexec/geoclue-2.0/demos/where-am-i
    • Nhưng ở những nơi như trung tâm thương mại lớn, ga tàu hay sân bay, rất dễ mất phương hướng

  • Có lẽ các sinh viên khoa học máy tính thông minh ngày nay đang chạy một ứng dụng proxy chuyển tiếp môi trường Wi‑Fi trên điện thoại Android
    Rồi bạn bè của họ lấy dữ liệu đó qua plugin trình duyệt hoặc các thủ thuật trên Linux để giả mạo vị trí

    • Thực ra Geolocation API của trình duyệt chỉ đơn giản trả về tọa độ, nên việc giả vị trí khá dễ
      Chỉ cần biết tọa độ của lớp học là được

  • PC của tôi không có kết nối không dây nên Geolocation API lúc nào cũng thất bại
    Chắc hẳn tôi đã bị loại khỏi hệ thống điểm danh lớp học
    Có vẻ tôi cũng có thể hack trình duyệt để nó trả về vị trí giả
    Sau này biết là có thể giải quyết bằng thiết lập Firefox thì thấy khá hụt hẫng

  • Tôi tự hỏi nếu có quyền quản trị thì liệu có thể giả mạo vị trí được không
    Ví dụ tôi muốn thử sao chép danh sách SSID/BSSID của lớp học nơi bạn tôi đang ngồi để đánh lừa hệ thống rằng tôi cũng ở đó

    • Skylift phát các beacon cần thiết bằng phần cứng ESP8266/ESP32 thay vì dùng OS
    • Tôi cũng từng vô tình gặp trường hợp này. Ngay sau khi chuyển router Wi‑Fi sang nhà mới, điện thoại của tôi vẫn nhận đó là vị trí của nhà cũ
      Phải khoảng 30 giây sau nó mới sửa lại cho đúng

  • Đây giống như phiên bản hiện đại của hệ thống clicker thời đại học ngày xưa
    Chiến lược “nhờ bạn điểm danh hộ” vẫn hiệu quả và không thể vá được

  • Tôi đã dùng Symbian trong thời gian dài, và mãi gần đây mới biết có những thực hành quét Wi‑Fi như thế này
    Xe Google Street View quét router của tôi thì còn chấp nhận được, nhưng việc điện thoại âm thầm theo dõi tôi thì rất khó chịu
    Tôi hy vọng các bản fork Android như GrapheneOS có thể ngăn chuyện này

    • Ít nhất thì người dùng cũng có quyền kiểm soát có thể kiểm chứng được

  • Khi học ở Áo, trường đại học gần như để sinh viên tự chủ hoàn toàn
    Tôi không hiểu việc bắt buộc điểm danh. Tôi nghĩ chỉ cần qua được kỳ thi là đủ
    Các lớp thực hành là ngoại lệ, nhưng nếu không tham gia thì sẽ lộ ra ngay

    • Trường tôi cũng không điểm danh, nhưng một số nơi có lý do riêng
      1. Sinh viên thiếu tự giác nên điểm danh là động lực
      2. Với các lớp học thiên về thảo luận, việc tham gia là bắt buộc
      3. Cần hồ sơ điểm danh để đáp ứng yêu cầu visa của sinh viên quốc tế
      4. Khi có khiếu nại, dữ liệu điểm danh là cần thiết để đánh giá công bằng
        Cuối cùng thì điều này phụ thuộc vào mức độ của trường và tính tự chủ của sinh viên
    • Khi học vật lý ở Anh, việc đi học cũng là tự do
      Thay vào đó, các dự án thực nghiệm được làm theo nhóm, nên nếu không tham gia thì sẽ không có kết quả
    • Ở trường tôi vẫn điểm danh thủ công
      Vì cần dữ liệu cho học bổng, biểu đồ tương quan giữa điểm danh và điểm số, v.v.
      Nhưng về cơ bản sinh viên là người trưởng thành, nên tôi nghĩ việc học là trách nhiệm của chính họ
    • Tôi tốt nghiệp ở Mỹ vào năm 2004, và ngay cả khi đó việc đi học trên lớp cũng không bắt buộc
    • Sinh viên đại học ở Mỹ ngày nay trưởng thành muộn hơn, nên trường đại học rơi vào tình thế phải đóng vai phụ huynh

  • Công nghệ này đã được sử dụng rộng rãi hơn 20 năm
    GPS thì chính xác nhưng chậm, lại không ổn định trong nhà hoặc môi trường đô thị
    Trong khi đó dữ liệu Wi‑Fi rất dồi dào và có thể cho vị trí chính xác trong dưới 1 giây