Sistem Penentuan Lokasi Wi‑Fi yang Memungkinkan Pelacakan Posisi Presisi

 (amoses.dev)
21 poin oleh GN⁺ 2025-11-22 | 1 komentar | Bagikan ke WhatsApp
  • Permintaan izin lokasi di browser bukan sekadar perkiraan lokasi berbasis IP, melainkan melakukan pengukuran lokasi presisi dengan memanfaatkan informasi access point Wi‑Fi di sekitar
  • Dalam proses ini, browser mengumpulkan data seperti SSID, BSSID, dan kekuatan sinyal (RSSI) lalu mencocokkannya dengan basis data milik penyedia layanan seperti Google
  • Basis data semacam ini dibangun melalui wardriving di masa lalu serta pengiriman data berkelanjutan dari perangkat pengguna
  • Di masa lalu, beberapa kontroversi pelanggaran privasi pernah terjadi, termasuk insiden pengumpulan data tak terenkripsi oleh mobil Google Street View
  • Kini sebagian besar perangkat menggunakan sistem ini secara default, dan pengguna dapat mendaftarkan BSSID atau menambahkan '_nomap' pada SSID untuk mengecualikannya (opt-out)

Sistem absensi dan verifikasi lokasi

  • Platform TopHat yang digunakan dalam kelas algoritma di University of Wisconsin memverifikasi lokasi nyata mahasiswa untuk keperluan absensi
    • Selain sekadar memasukkan kode absensi, fitur “Secure Attendance” menggunakan informasi lokasi perangkat untuk menilai apakah mahasiswa berada di dekat ruang kuliah
  • Karena perkiraan lokasi berbasis IP memiliki galat yang besar, TopHat menggunakan Geolocation API di browser
    • API ini meminta izin eksplisit kepada pengguna dan dapat menentukan lokasi dengan akurasi hingga beberapa meter
Iklan

Cara kerja Geolocation API

  • Geolocation API memanfaatkan berbagai sumber seperti GPS, IP, dan Wi‑Fi, tetapi pada perangkat non-GPS seperti laptop, Wi‑Fi Positioning System (WPS) menjadi metode utama
  • Saat getCurrentPosition() dipanggil, browser mengumpulkan SSID, BSSID, dan kekuatan sinyal access point Wi‑Fi di sekitar
    • BSSID adalah pengenal unik berbasis alamat MAC, sehingga beberapa jaringan dengan SSID yang sama dapat dibedakan
  • Informasi yang dikumpulkan dikirim ke penyedia layanan lokasi seperti Google, lalu lokasi akurat dihitung dengan membandingkannya dengan data yang sudah terakumulasi

Sejarah penentuan lokasi Wi‑Fi dan pengumpulan data

  • Berawal dari teknik wardriving yang dikomersialisasikan oleh Skyhook Wireless pada awal 2000-an
    • Kendaraan dipasangi penerima GPS untuk merekam lokasi serta kekuatan sinyal jaringan Wi‑Fi di sekitar saat bergerak
    Iklan
  • Setelah itu Google mengumpulkan informasi Wi‑Fi melalui mobil Street View, dan Apple serta Microsoft juga beralih ke cara pengumpulan otomatis dari perangkat pengguna
  • Kini sebagian besar smartphone dan laptop mengirimkan informasi Wi‑Fi sekitar ke server produsen saat layanan lokasi diaktifkan, dan data ini dipakai untuk memperkirakan lokasi perangkat lain

Kontroversi privasi dan keamanan

  • Pada 2010, terungkap bahwa Google mengumpulkan sekitar 600 GB data HTTP tak terenkripsi menggunakan mobil Street View, yang memicu kontroversi
  • Bug pada API lokasi Microsoft juga pernah memunculkan kasus yang memungkinkan rekonstruksi riwayat pergerakan pengguna
  • Dalam penelitian University of Maryland tahun 2024, kerentanan pada layanan lokasi Apple dimanfaatkan untuk mengekstrak lokasi sekitar 2 miliar BSSID
    • Informasi ini berpotensi disalahgunakan untuk pelacakan individu atau pemantauan pergerakan populasi
  • Perusahaan-perusahaan besar kemudian memperkuat keamanan API dan menyediakan fitur untuk mengecualikan data dari basis data dengan menambahkan '_nomap' pada SSID atau mendaftarkan BSSID

Kesimpulan dan basis data terbuka

  • Teknologi ini disebut Wi‑Fi Positioning System (WPS) dan hingga kini masih digunakan secara aktif
  • wigle.net adalah basis data terbuka berbasis crowdsourcing yang telah mengumpulkan sekitar 2 miliar jaringan selama 25 tahun, sehingga pengguna dapat memeriksa apakah jaringan mereka sudah terdaftar
  • beacondb.net adalah basis data lokasi nirkabel berbasis domain publik yang menyediakan dataset independen berbeda dari layanan komersial
  • Alasan laptop dapat mengetahui lokasi dengan akurat adalah karena begitu banyak data Wi‑Fi yang tanpa sadar disumbangkan oleh para pengguna
  • Bahkan verifikasi kehadiran di kelas pun berjalan di atas hasil akumulasi data kolektif semacam ini

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-22
Komentar Hacker News

  • Saya mengunci lokasi ke titik tertentu dekat rumah di pengaturan Firefox
    user_pref("geo.provider.network.url", 'data:application/json,{"location": {"lat": 45.0, "lng": -122.0}, "accuracy": 128.0}');
    Dengan begitu saya yakin data Wi-Fi tidak bocor ke pihak luar

    • Ada beberapa opsi untuk MacOS, Linux, dan menonaktifkan seluruh fungsi
      Misalnya, geo.provider.use_corelocation, geo.provider.use_geoclue, geo.enabled harus disetel ke false
      Selain itu, geo.provider.testing mungkin juga perlu disetel ke true
      Tautan referensi terkait: isu Bugzilla, StackOverflow, Security StackExchange
    • Ada plugin LocationGuard yang memungkinkan pengaturan akurasi lokasi per situs
      Versi Chrome, versi Firefox

  • Dulu saat bekerja di pesaing Zoom, kami pernah bereksperimen dengan fitur untuk mendeteksi apakah peserta berada di ruangan yang sama
    Caranya, tiap laptop mengeluarkan suara frekuensi tinggi yang unik dan saling mendengarkan sinyal satu sama lain
    Di lab berhasil, tetapi gagal di dunia nyata. Meski begitu, ini percobaan yang menarik

    • Orang-orang perlu belajar etika dasar. Melakukan rapat video tanpa headphone itu gila
      Suara latar, feedback, suara speaker, dan sebagainya membuat rapat berantakan
    • Microsoft Teams juga mendukung deteksi howling berbasis ultrasonik
    • Google Meet juga menyediakan fitur serupa
    • Memancarkan frekuensi tinggi bisa berbahaya bagi telinga
      Artikel terkait: Science.org
    • Cisco Teams/Webex juga pernah punya fitur untuk mendeteksi peserta di ruang rapat lewat ultrasonik

  • Saya baru-baru ini membuat CLI kecil bernama where-am-i
    Tautan GitHub
    Karena GPS dalam ruangan sangat buruk, saya merasa teknologi geolokasi seperti ini benar-benar berguna

    • Saya penasaran kenapa GPS diperlukan di dalam ruangan. Bukankah dalam banyak kasus kita sudah tahu sedang berada di mana?
    • Di Linux juga ada demo bernama /usr/libexec/geoclue-2.0/demos/where-am-i
    • Tapi di tempat seperti mal besar, stasiun kereta, atau bandara, orang mudah kehilangan orientasi arah

  • Mahasiswa ilmu komputer yang pintar akhir-akhir ini mungkin menjalankan aplikasi proxy yang meneruskan lingkungan Wi-Fi di ponsel Android
    Lalu teman-temannya menerima data itu lewat plugin browser atau hacking Linux untuk memalsukan lokasi

    • Sebenarnya Geolocation API di browser hanya mengembalikan koordinat, jadi memalsukan lokasi cukup mudah
      Cukup tahu koordinat ruang kelasnya

  • PC saya tidak punya koneksi nirkabel, jadi Geolocation API selalu gagal
    Mungkin saya bakal gagal tercatat hadir di kelas
    Sepertinya saya juga bisa mengutak-atik browser agar mengembalikan lokasi palsu
    Belakangan saya tahu ternyata ini bisa diatasi lewat pengaturan Firefox, dan rasanya agak konyol

  • Saya penasaran apakah spoofing lokasi memungkinkan jika punya hak admin
    Misalnya, saya ingin mencoba eksperimen menyalin daftar SSID/BSSID dari ruang kelas tempat teman berada agar terlihat seolah-olah saya ada di sana

    • Skylift memancarkan beacon yang diperlukan lewat perangkat keras ESP8266/ESP32, bukan lewat OS
    • Saya juga pernah mengalami ini secara tidak sengaja. Tepat setelah memindahkan router Wi-Fi ke rumah baru, ponsel saya masih mengenalinya sebagai lokasi rumah lama
      Baru sekitar 30 detik kemudian terkoreksi dengan benar

  • Ini terasa seperti versi modern dari sistem clicker di masa kuliah dulu
    Strategi yang ‘tidak bisa ditambal’ dengan menitip absen ke teman ternyata masih tetap berlaku

  • Saya lama memakai Symbian, dan baru belakangan tahu ada praktik pemindaian Wi-Fi seperti ini
    Saya tidak masalah jika mobil Google Street View memindai router saya, tetapi saya tidak suka jika ponsel saya diam-diam melacak saya
    Saya berharap fork Android seperti GrapheneOS bisa memblokir hal seperti ini

    • Setidaknya pengguna bisa punya kendali yang dapat diverifikasi

  • Saat kuliah di Austria, universitas nyaris sepenuhnya menyerahkan mahasiswa pada otonomi diri
    Saya tidak paham kewajiban absensi. Bukankah yang penting cukup lulus ujian?
    Kelas praktikum tentu pengecualian, tetapi kalau tidak ikut biasanya langsung ketahuan

    • Universitas kami juga tidak mengecek absensi, tetapi beberapa kampus memang punya alasan
      1. Mahasiswa kurang punya kontrol diri, jadi absensi menjadi motivasi
      2. Di kelas berbasis diskusi, partisipasi itu wajib
      3. Persyaratan visa mahasiswa asing mengharuskan adanya catatan kehadiran
      4. Jika ada pengajuan keluhan, data kehadiran diperlukan untuk penilaian yang adil
        Pada akhirnya, ini bergantung pada tingkat kampus dan otonomi mahasiswa
    • Saat belajar fisika di Inggris, absensi juga bebas
      Sebagai gantinya, proyek lab dikerjakan per tim, jadi kalau tidak ikut berpartisipasi, hasilnya memang tidak akan didapat
    • Di universitas saya, cek absensi manual masih dilakukan
      Karena data dibutuhkan untuk beasiswa, grafik korelasi kehadiran-nilai, dan sebagainya
      Namun pada dasarnya mahasiswa adalah orang dewasa, jadi saya rasa belajar adalah tanggung jawab masing-masing
    • Saya lulus di AS pada 2004, dan saat itu pun kehadiran kuliah tidak wajib
    • Mahasiswa AS sekarang matang lebih lambat, sehingga kampus harus berperan seperti wali

  • Teknologi ini sudah digunakan luas selama lebih dari 20 tahun
    GPS akurat, tetapi lambat, dan tidak stabil di dalam ruangan atau lingkungan perkotaan
    Sebaliknya, data Wi-Fi melimpah, dan bisa memberikan lokasi akurat dalam waktu kurang dari 1 detik