Ključni izsledki
- Raziskovalci dokazujejo, da je signale Bluetooth mogoče edinstveno identificirati zahvaljujoč majhnim nepopolnostim v čipih.
- Proces pa je po mnenju strokovnjakov bolj primeren za sledenje skupinam ljudi kot posameznikom.
- Predlagajo, da bi ga morali uporabiti kot še en primer za spodbujanje strogih predpisov za omejitev sledenja.
Raziskovalci so odkrili še eno napako v Bluetoothu, ki bi lahko predstavljala tveganje za vašo zasebnost, če bi jo le lahko uporabili kot orožje.
Na nedavni konferenci IEEE Security and Privacy so raziskovalci s kalifornijske univerze v San Diegu predstavili svoje ugotovitve o čipih Bluetooth, ki imajo edinstvene nepopolnosti strojne opreme, na katerih je mogoče odvzeti prstne odtise. To teoretično omogoča napadalcem, da sledijo uporabnikom prek čipov Bluetooth, vgrajenih v njihove pametne pripomočke, čeprav raziskovalci sami priznavajo, da postopek zahteva precej dela in zdravo mero sreče.
»'Sledenje' uporabniških naprav, ki ga opisujejo, je še eno stopnjevanje v nenehni oboroževalni tekmi med posredniki podatkov in proizvajalci naprav, ki skrbijo za zasebnost,« je za Lifewire po elektronski pošti povedal Evan Krueger, vodja inženiringa pri Token. "Malo verjetno je, da bo ta tehnika uporabljena za ciljno usmerjen napad, kot je zalezovanje ali nasilje v intimnem partnerju, kot so ljudje nedavno videli uporabo Apple AirTags."
Bluetooth Forenzika
Raziskovalci trdijo, da so se v zadnjem času mobilne naprave, vključno s pametnimi telefoni in pametnimi urami, podvojile kot svetilniki za brezžično sledenje, ki nenehno oddajajo signale za aplikacije, kot je sledenje stikom ali iskanje izgubljenih naprav.
Po mnenju raziskovalcev naše pametne naprave nenehno oddajajo na stotine svetilnikov na minuto. V svojih testih z več pametnimi napravami so merili uro iPhone 10, ki pošilja več kot 800 signalov na minuto, medtem ko Apple Watch 4 odda skoraj 600 svetilnikov vsakih 60 sekund.
"Te aplikacije [Bluetooth] uporabljajo kriptografsko anonimnost, ki omejujejo nasprotnikovo zmožnost uporabe teh svetilnikov za zalezovanje uporabnika," so opozorili raziskovalci. "Vendar lahko napadalci zaobidejo te obrambe tako, da odvzamejo prstne odtise edinstvenim nepopolnostim fizične plasti v prenosih določenih naprav."
Raziskava je omembe vredna, saj je pomagala dokazati, da imajo signali Bluetooth razločen in sledljiv prstni odtis.
Vendar natančen postopek prepoznavanja edinstvenega signala naprave zahteva nekaj dela in ni vedno zagotovljeno, da bo deloval, saj nimajo vsi čipi Bluetooth enake zmogljivosti in dosega.
Vleka vrvi
"Na podlagi raziskav se zdi, da te tehnike ni verjetno, da bi jo uporabljali v resničnem svetu brez nekaj iteracij, da bi njeno uporabo poenostavili in naredili bolj stabilno, " Matt Psencik, direktor, specialist za varnost končnih točk pri Taniumu, povedal Lifewire po e-pošti, potem ko je pregledal papir.
Psencik je svojo trditev ponazoril z besedami, da je pravkar uporabil aplikacijo BluetoothLE Scanner, ki je pobrala 165 naprav Bluetooth v njegovi bližini, ko je bil v tretjem nadstropju stanovanjske hiše. "Glede na to v mislih bi bila uporaba te metode za sledenje nekomu skozi mesta, kjer je veliko ljudi, boljši dosežek s klasičnim vidnim sledenjem," je dejal Psencik.
Opozoril je, da čeprav so raziskovalci odkrili napako v Bluetoothu, bi njihov mehanizem za sledenje ustvaril ogromno podatkov z malo dobička.
Krueger se je strinjal in dejal, da bo delo raziskovalcev verjetno zanimivo za podjetja za posredovanje podatkov, ki poskušajo množično nadzorovati ljudi in te podatke ali dostop do njih prodajati za oglaševanje, namesto da bi sledili posameznim ljudem. namene.
»Medtem ko se prodajalcu na drobno morda zdi sledenje strankam prek odvzema prstnih odtisov Bluetooth med premikanjem po trgovini neškodljivo za stranke in koristno za podjetje, so posledice neomejenega nadzora zares zaskrbljujoče,« je prepričan Krueger.
Ob razlagi resnosti situacije je Krueger dejal, da so ljudje dokaj prizadeti pri neposrednem boju proti tej vrsti sledenja, glede na stopnjo sofisticiranosti, ki jo uporabljajo te tehnike prstnih odtisov, in vseprisotnost svetilnika Bluetooth v izdelkih, ki so postali bistveni za naše vsakdanje življenje.
Edina možnost, ki jo imajo ljudje, je, da iščejo izdelke in storitve z dokazljivimi izkušnjami pri dajanju prednosti zasebnosti uporabnikov od podjetij, ki so izrazila podporo zakonodaji za zajezitev razširjenega ciljno usmerjenega sledenja ljudem, kot je opisano v prispevku.
"Morda se zdi, da so to majhni ali celo nepomembni koraki za posameznika," je priznal Krueger, "toda to je problem kolektivnega ukrepanja in ga je mogoče rešiti le s trajnim, kumulativnim tržnim in regulativnim pritiskom."
