Ключови изводи
- Изследователите демонстрират, че Bluetooth сигналите могат да бъдат уникално идентифицирани благодарение на малки несъвършенства в чиповете.
- Процесът обаче е по-подходящ за проследяване на групи от хора, отколкото на отделни лица, предполагат експерти.
- Те предполагат, че трябва да се използва като друг пример за натискане на строги разпоредби за ограничаване на проследяването.
Изследователите са открили още един недостатък на Bluetooth, който може да представлява риск за поверителността ви, само ако е лесно да бъде въоръжен.
На неотдавнашната конференция за сигурност и поверителност на IEEE, изследователи от Калифорнийския университет в Сан Диего представиха своите открития за Bluetooth чиповете, които имат уникални хардуерни несъвършенства, които могат да бъдат снети с пръстови отпечатъци. Това теоретично позволява на атакуващите да проследяват потребителите чрез Bluetooth чиповете, вградени в техните интелигентни джаджи, въпреки че самите изследователи признават, че процесът изисква значително количество работа и здравословна доза късмет.
„„Проследяването“на потребителските устройства, което те описват, е още една ескалация в продължаващата надпревара във въоръжаването между брокерите на данни и производителите на устройства, загрижени за поверителността“, каза Еван Крюгер, ръководител на инженерния отдел в Token, каза пред Lifewire по имейл. „Тази техника е малко вероятно да се използва за целенасочена атака, като преследване или насилие от интимен партньор по начина, по който хората са виждали Apple AirTags използвани наскоро.“
Bluetooth криминалистика
Изследователите твърдят, че напоследък мобилните устройства, включително смартфони и смарт часовници, се удвоиха като маяци за безжично проследяване, като постоянно предават сигнали за приложения като проследяване на контакти или намиране на изгубени устройства.
Според изследователите нашите интелигентни устройства непрекъснато излъчват стотици маяци в минута. В своите тестове с няколко интелигентни устройства, те са с часовник на iPhone 10, изпращайки над 800 сигнала в минута, докато Apple Watch 4 излъчва почти 600 маяка на всеки 60 секунди.
"Тези [Bluetooth] приложения използват криптографска анонимност, която ограничава способността на противника да използва тези маяци, за да преследва потребител", отбелязват изследователите. „Нападателите обаче могат да заобиколят тези защити чрез отпечатване на уникалните несъвършенства на физическия слой в предаванията на конкретни устройства.“
Изследването е забележително, тъй като помогна да се демонстрира, че Bluetooth сигналите имат отчетлив и проследим пръстов отпечатък.
Въпреки това, точният процес за идентифициране на уникалния сигнал на дадено устройство отнема известно време и не винаги е гарантирано, че работи, тъй като не всички Bluetooth чипове имат еднакъв капацитет и обхват.
дърпане на въже
„Въз основа на изследването тази техника не изглежда вероятно да се използва в реалния свят без някои итерации, за да се опрости използването й и да се направи по-стабилна,“Мат Псенчик, директор, специалист по сигурността на крайните точки в Tanium, каза на Lifewire по имейл, след като прегледа хартията.
Psencik илюстрира аргумента си, като каза, че току-що е използвал приложение за сканиране на BluetoothLE, което е засякло 165 Bluetooth устройства близо до него, докато е бил на третия етаж на жилищна сграда. „Имайки предвид това, използването на този метод за проследяване на някого през многолюдни места би било постижение, постижимо по-добре с класическо визуално проследяване на линията на видимост“, каза Псенчик.
Той отбеляза, че докато изследователите са открили недостатък в Bluetooth, техният механизъм за проследяване ще генерира много данни с малко изплащане.
Крюгер се съгласи, като каза, че по-скоро, отколкото експлойт за проследяване на отделни хора, работата на изследователите вероятно ще представлява интерес за компаниите за брокери на данни, които се опитват да наблюдават масово хора и да продават тези данни или достъп до тях за реклама цели.
"Докато търговец на дребно може да види проследяването на клиенти чрез Bluetooth пръстови отпечатъци, докато се движат из магазина си, като безвредно за клиентите и полезно за бизнеса, последствията от неограниченото наблюдение са наистина тревожни", смята Крюгер.
Обяснявайки сериозността на ситуацията, Крюгер каза, че хората са доста затруднени в пряката борба с този вид проследяване, като се има предвид нивото на сложност, използвано от тези техники за пръстови отпечатъци, и повсеместното разпространение на Bluetooth маяци в продукти, които са станали съществени за нашите ежедневен живот.
Единствената възможност, която хората имат, е да търсят продукти и услуги с доказуем опит в приоритизирането на поверителността на потребителите от компании, които са изразили подкрепа за законодателство за ограничаване на широко разпространеното целенасочено проследяване на хора, както е описано в документа.
„Те може да изглеждат като малки или дори несъществени стъпки за индивидуално предприемане“, признава Крюгер, „но това е проблем на колективно действие и може да бъде разрешен само чрез продължителен, кумулативен пазарен и регулаторен натиск.“