Ein belgischer Sicherheitsforscher hat beim Analysieren einer Malware eine Funktion entdeckt, welche den Standort der Opfer mittels WLAN erkennt. Während schädliche Software den Standort bisher üblicherweise über die IP-Adresse erkennt, geht die nun erkannte Funktion einen Schritt weiter und nutzt die WLAN-Netze in der Umgebung, um den Standort des Opfers genauer zu erkennen.
In meinen beiden Artikeln Widerspruch der WLAN-Ortung bei Google und Microsoft und Edward Snowden würde zuhause kein WLAN benutzen habe ich bereits erklärt, wie mit Hilfe der erkannten WLAN-Netze (BSSID) Rückschlüsse auf die Umgebung gezogen werden können. Die Auswertung der WLAN-Umgebung ist nur eine von vielen Möglichkeiten (neben Funkmasten-Triangulation, GPS und Geo-IP-Erkennung), um den Standort eines Endgerätes zu erkennen. Mittels WLAN gelingt die Standortbestimmung aber recht zuverlässig. Dazu muss man nur den Standort mit einer der zahlreichen WLAN-Datenbanken abgleichen, z.B. WiGLE oder anderen Datenbanken.
Doch warum benötigen Angreifer überhaupt Kenntnis über den Standort der Opfer? Beispielsweise könnte man eigene Landsleute von einem Angriff ausnehmen. Möglicherweise dient die Funktion auch dem Schutz vor Strafverfolgung, wenn der Angriff nur in anderen Ländern erfolgt und eben nicht im eigenen Land. Denn IP-Blöcke werden oft weiterverkauft und die IP-Datenbanken sind nicht immer aktuell. Andererseits könnte ein Angreifer mittels der neuen Funktion gezielt Länder oder Organisationen angreifen. Und zwar treffsicherer, als es nur durch die IP-Adresse möglich ist.