Sleutel wegneemetes
- Navorsers demonstreer dat Bluetooth-seine uniek geïdentifiseer kan word danksy klein onvolmaakthede in die skyfies.
- Die proses is egter beter geskik om groepe mense op te spoor eerder as individue, stel kenners voor.
- Hulle stel voor dit moet as nog 'n voorbeeld gebruik word om aan te dring op streng regulasies om opsporing te bekamp.
Navorsers het nog 'n Bluetooth-fout ontdek, wat 'n risiko vir jou privaatheid kan inhou as dit net maklik was om te wapen.
By die onlangse IEEE-sekuriteit- en privaatheidskonferensie het navorsers van die Universiteit van Kalifornië, San Diego, hul bevindinge aangebied oor Bluetooth-skyfies wat unieke hardeware-onvolmaakthede het wat met vingerafdrukke geneem kan word. Dit stel aanvallers teoreties in staat om gebruikers op te spoor deur die Bluetooth-skyfies wat in hul slimtoestelle ingebed is, alhoewel die navorsers self erken die proses verg aansienlike hoeveelheid werk en 'n gesonde klomp geluk.
"Die 'nasporing' van gebruikerstoestelle wat hulle beskryf is nog 'n eskalasie in die voortdurende wapenwedloop tussen datamakelaars en privaatheid-gesinde toestelvervaardigers," het Evan Krueger, hoof van ingenieurswese by Token, per e-pos aan Lifewire gesê. "Dit is onwaarskynlik dat hierdie tegniek gebruik sal word vir 'n geteikende aanval, soos agtervolging of intiemepaargeweld soos mense onlangs gesien het hoe Apple AirTags gebruik word."
Bluetooth Forensics
Die navorsers voer aan dat mobiele toestelle, insluitend slimfone en slimhorlosies, die afgelope tyd verdubbel het as draadlose opsporingsbakens, wat voortdurend seine uitstuur vir toepassings soos kontakopsporing of om verlore toestelle te vind.
Volgens die navorsers straal ons slimtoestelle voortdurend honderde bakens per minuut. In hul toetse met verskeie slimtoestelle het hulle die iPhone 10 geklok en meer as 800 seine per minuut uitgestuur, terwyl die Apple Watch 4 elke 60 sekondes amper 600 bakens spoeg.
"Hierdie [Bluetooth]-toepassings gebruik kriptografiese anonimiteit wat 'n teenstander se vermoë beperk om hierdie bakens te gebruik om 'n gebruiker te bekruip," het die navorsers opgemerk. "Aanvallers kan egter hierdie verdediging omseil deur die unieke fisieke laag-onvolmaakthede in die uitsendings van spesifieke toestelle met vingerafdrukke te neem."
Die navorsing is noemenswaardig aangesien dit gehelp het om te demonstreer dat Bluetooth-seine 'n duidelike en naspoorbare vingerafdruk het.
Die presiese proses om die unieke sein van 'n toestel te identifiseer verg egter 'n bietjie werk, en dit word nie altyd gewaarborg om te werk nie, aangesien nie alle Bluetooth-skyfies dieselfde kapasiteit en reeks het nie.
Toutrek
"Op grond van die navorsing, lyk dit nie asof hierdie tegniek in die regte wêreld gebruik sal word sonder 'n paar herhalings om die gebruik daarvan te vereenvoudig en dit meer stabiel te maak nie," Matt Psencik, Direkteur, Endpoint Security Specialist, by Tanium, aan Lifewire per e-pos gesê nadat hy deur die koerant gelees het.
Psencik het sy argument geïllustreer deur te sê dat hy net 'n BluetoothLE-skandeerdertoepassing gebruik het wat 165 Bluetooth-toestelle naby hom opgetel het terwyl hy op die derde verdieping van 'n woonstelgebou was. "Met dit in gedagte, sal die gebruik van hierdie metode om iemand deur oorvol plekke op te spoor 'n prestasie wees wat beter bereik kan word met klassieke visuele nasporing," het Psencik gesê.
Hy het opgemerk dat hoewel die navorsers 'n fout in Bluetooth geïdentifiseer het, hul opsporingsmeganisme 'n hele klomp data sal genereer met min opbrengs.
Krueger het saamgestem en gesê eerder as 'n uitbuiting om individuele mense op te spoor, sal die navorsers se werk waarskynlik van belang wees vir datamakelaarmaatskappye wat poog om mense massaal dop te hou en daardie data, of toegang daartoe, te verkoop vir advertensies doeleindes.
"Terwyl 'n kleinhandelaar die opsporing van kliënte via Bluetooth-vingerafdrukke kan sien terwyl hulle in hul winkel rondbeweeg as skadeloos vir die klante en voordelig vir die besigheid, is die gevolge van onbeperkte toesig inderdaad kommerwekkend," het Krueger geglo.
Krueger verduidelik die erns van die situasie en sê mense is redelik gestremd om hierdie soort opsporing direk te bekamp, gegewe die vlak van gesofistikeerdheid wat deur hierdie vingerafdruktegnieke gebruik word en die alomteenwoordigheid van Bluetooth-bakens in produkte wat noodsaaklik geword het vir ons daaglikse lewens.
Die een opsie wat mense het, is om te soek na produkte en dienste met 'n aantoonbare rekord van prioritisering van gebruikersprivaatheid, van maatskappye wat steun uitgespreek het vir wetgewing om wydverspreide geteikende opsporing van mense te bekamp, soos beskryf in die koerant.
"Dit voel dalk soos klein of selfs onbelangrike stappe vir 'n individu om te neem," het Krueger erken, "maar dit is 'n kollektiewe aksie-probleem, en dit kan slegs deur volgehoue, kumulatiewe mark- en regulatoriese druk aangespreek word."
