锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
怎么逆向苹果定位服务协议

作者: 佚名  日期:2017-05-12 21:01:37   来源: 本站整理

 本文作者表示自己在Whereami工作时对苹果公司的位置服务如何运作很感兴趣。以下是作者对如何逆向位置服务协议的描述。
由于Little Snitch一直拦截locationd,因此我了解到该协议是通过locationd处理的。由于macOS目前具有系统完整性保护 (SIP) 功能,因此通过proxychains检查流量的普通方式不起作用了。另外一种方法就是将Charles设置为iOS设备的中间人代理。看到多数是由设备背景连线通信产生的流量,于是我得到了想要的东西即一个位置服务请求。
位置服务请求
这个请求本身只是application/x-www-form-urlencode以及一些二进制数据。
POST /clls/wloc HTTP/1.1
Host: gs-loc.apple.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 97
Proxy-Connection: keep-alive
Accept: */*
User-Agent: locationd/1756.1.15 CFNetwork/711.5.6 Darwin/14.0.0
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Connection: keep-alive
00000000: 00 01 00 05 65 6e 5f 55 53 00 13 63 6f 6d 2e 61  ....en_US..com.a
00000010: 70 70 6c 65 2e 6c 6f 63 61 74 69 6f 6e 64 00 0c  pple.locationd..
00000020: 38 2e 34 2e 31 2e 31 32 48 33 32 31 00 00 00 01  8.4.1.12H321....
00000030: 00 00 00 2d 12 13 0a 11 62 34 3a 35 64 3a 35 30  ...-....b4:5d:50
00000040: 3a 39 34 3a 33 39 3a 62 33 12 12 0a 10 39 38 3a  :94:39:b3....98:
00000050: 31 3a 61 37 3a 65 36 3a 38 35 3a 37 30 18 00 20  1:a7:e6:85:70..
00000060: 64                                               d
由于数据并不具有gzip头部0x1f8b,我猜应该是PB (protocol buffer)。毕竟它现在风光无限且备受众多很酷的小伙伴推崇。我们试着解码一下。
$ xxd -r request.hex | protoc --decode_raw
Failed to parse input.
不起作用,可能是因为请求里面存在多余的东西。按逻辑来说这些mac地址应该是数据的一部分。我们试着来解码一下这些地址,如下十六进制转储中的蓝色部分所示:

还是不行。顶部看起来就像是一个头部。我们试着删除头部看看。

还是不行。
多次尝试未果之后,我决定通过从开头把字节一个一个地删除的暴力方法来看看能否解码。稍微改进的脚本版本如下。

protomower.sh

运行之后发现三个匹配似乎是误报。虽然有输出但有些数据时乱码。第四个看似是合法的。

看似我原来的想法非常接近真相了。黄色部分是被删掉的字节。蓝色部分是成功被解码的PB信息。

也就是说请求信息由四种不同类型的数据组成。在PB术语中,每种数据类型都被称作一个标签。那么这条信息就有四个标签。
1是包含一个mac地址的字符串,基本上跟一个无线路由器mac地址差不多。
2是包含1作为值的内嵌信息,将其看做一个结构或对象即可。
3 和 4都是整数。我不知道它们的含义是什么,可能是说路由器最近一次出现的年份或者是信号噪音比。
为了验证这些假设,我们试着通过不同的mac地址提出一个请求。我通过一个十六进制编辑器来编辑二进制请求文件并通过curl命令提出一个POST请求。

$ curl https://gs-loc.apple.com/clls/wloc --include --request POST --data-binary @request2.bin
HTTP/1.1 400 Bad Request
Date: Sun, 07 May 2017 06:26:06 GMT
Cneonction: Close
Content-Type: text/plain
X-RID: 62904d6c-fe93-47d5-b579-548f9c83297c
Content-Length: 11
Bad Request
还是不行。为什么会出现问题呢?
从转储中我们可看出信息现在是1个字节的长度,那么某个地方可能是一个校验和。这一点显而易见。0x2d的小数有效位数是45,而原始信息是45字节长。新的信息是46字节长,那么转换成十六进制应该是0x2e。我猜变量是一个32位的整数即0x002e。

$ curl https://gs-loc.apple.com/clls/wloc --include --request POST --data-binary @request3.bin

HTTP/1.1 200 OK
X-RID: bb3cc16a-6680-4019-b5d0-fb52e8c8bd5a
Content-Type: text/plain
Content-Length: 4948
成功了。现在我们就可以知道请求的格式了。

头部本身可进一步进行分割。

地址服务响应
响应本身非常大。

这次,我们还是用暴力笨办法,事实证明有效果。解码的输出大概是1400行长。

第一行有点让人困惑。18446744073709551615 等于 0xfffffffffffffff也就是最大的无符号64位值。这可能意味着mac地址并未发现。我不知道18446744055709551616即0xfffffffbcf1dcc00的情况如何。
余下的结果更清楚。
2-1 是mac地址
2-2-1 是纬度 135582881 * pow(10, -8) = 1.35544532
2-2-2是经度10399172128 * pow(10, -8) = 103.99172128
2-2-3 貌似是位置精确度,
2-21 很可能是无线信道。
我刚开始不解的是为什么会得到101个结果。后来想明白了,这说明成功的结果是100个。刚开始的两个是我发送的mac地址,其余的是跟我提交的地址临近的mac地址。
但为啥有100个结果呢?
我猜可能是苹果公司去掉了对客户的三边测量计算,它并没有为每个人做出昂贵的计算,而是提供了一些访问点和坐标。
如果其中至少有三个地址是客户可见的,那么核心位置就能够使用信号水平作为距离。当你拥有三个坐标以及它们离目标位置的距离后,你就能合理地计算出目标位置在哪里。
如下是请求位于新加坡樟宜的位置时返回的访问点位置服务。

拥有了周边数百个访问点的信息还省去了再次联系位置服务服务器的必要。只要核心位置拥有三个可见访问点的坐标,那么就能够准确地计算出目标位置在哪里。即使是在离线的情况下只要开启了wifi,一样可以找到准确位置。
如何为我所用?
你可以为不带用户空间核心位置支持的编程语言写支持,不过其实可以用更简单的办法实现这个诉求。其实可以写一下你自己的位置服务服务器,帮助定位app做出一些有创意的调试,这个会更有意思。
延伸阅读
Application à l’analyse des données de géolocalisation envoyées par un smartphone 这是一篇法语论文,来了没有一些.proto文件实例和Python代码,我就是从这里开始的。不过论文发表之时协议似乎已经发生变化了
Vulnerability Analysis and Countermeasures for WiFi-based Location Services and Application (《基于WiFi地理服务和应用程序的漏洞分析和应对方法》)可大体了解基于WiFi的定位是如何运作的。



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等