Ключевые выводы
- Исследователи демонстрируют, что сигналы Bluetooth могут быть однозначно идентифицированы благодаря крошечным дефектам чипов.
- Однако этот процесс лучше подходит для отслеживания групп людей, а не отдельных лиц, считают эксперты.
- Они предлагают использовать это как еще один пример, чтобы настаивать на строгих правилах, чтобы обуздать отслеживание.
Исследователи обнаружили еще одну уязвимость Bluetooth, которая могла бы поставить под угрозу вашу конфиденциальность, если бы ее было легко использовать в качестве оружия.
На недавней конференции IEEE Security and Privacy исследователи из Калифорнийского университета в Сан-Диего представили свои выводы о чипах Bluetooth, имеющих уникальные аппаратные недостатки, которые можно обнаружить. Теоретически это позволяет злоумышленникам отслеживать пользователей через чипы Bluetooth, встроенные в их умные гаджеты, хотя сами исследователи признают, что этот процесс требует значительного объема работы и изрядной доли удачи.
«Отслеживание пользовательских устройств, которое они описывают, является еще одной эскалацией в продолжающейся гонке вооружений между брокерами данных и производителями устройств, заботящихся о конфиденциальности», - сказал Lifewire по электронной почте Эван Крюгер, руководитель отдела разработки Token. «Эта техника вряд ли будет использоваться для целенаправленной атаки, такой как преследование или насилие со стороны интимного партнера, как недавно люди видели, как Apple AirTags используется».
Bluetooth Forensics
Исследователи утверждают, что в последнее время мобильные устройства, в том числе смартфоны и смарт-часы, стали использоваться как беспроводные маяки слежения, постоянно передающие сигналы для таких приложений, как отслеживание контактов или поиск потерянных устройств.
По словам исследователей, наши интеллектуальные устройства постоянно излучают сотни маяков в минуту. В своих тестах с несколькими смарт-устройствами они синхронизировали iPhone 10, посылая более 800 сигналов в минуту, в то время как Apple Watch 4 выдавали почти 600 маячков каждые 60 секунд.
«Эти приложения [Bluetooth] используют криптографическую анонимность, которая ограничивает возможности злоумышленника использовать эти маяки для слежки за пользователем», - отметили исследователи. «Однако злоумышленники могут обойти эту защиту, распознав уникальные дефекты физического уровня в передачах определенных устройств».
Исследование заслуживает внимания, поскольку оно помогло продемонстрировать, что сигналы Bluetooth имеют четкий и отслеживаемый отпечаток пальца.
Тем не менее, точный процесс определения уникального сигнала устройства требует некоторых усилий, и не всегда гарантируется его работа, поскольку не все чипы Bluetooth имеют одинаковую емкость и радиус действия.
Перетягивание каната
"Исходя из исследования, этот метод вряд ли будет использоваться в реальном мире без некоторых итераций, чтобы упростить его использование и сделать его более стабильным", Мэтт Псенчик, директор, специалист по безопасности конечных точек, в Tanium, сказал Lifewire по электронной почте после просмотра газеты.
Псенчик проиллюстрировал свой аргумент, сказав, что он только что использовал приложение BluetoothLE Scanner, которое обнаружило 165 Bluetooth-устройств рядом с ним, когда он находился на третьем этаже многоквартирного дома. «Имея это в виду, использование этого метода для отслеживания кого-либо в людных местах было бы подвигом, который лучше достигается с помощью классического визуального отслеживания на линии прямой видимости», - сказал Псенчик..
Он отметил, что, несмотря на то, что исследователи выявили недостаток в Bluetooth, их механизм отслеживания будет генерировать большое количество данных с небольшой отдачей.
Крюгер согласился, сказав, что работа исследователей, а не эксплойт для отслеживания отдельных людей, вероятно, будет интересна компаниям-брокерам данных, которые пытаются массово следить за людьми и продавать эти данные или доступ к ним для рекламы. цели.
«В то время как ритейлер может рассматривать отслеживание покупателей с помощью Bluetooth-считывания отпечатков пальцев, когда они перемещаются по своему магазину, как безвредное для покупателей и полезное для бизнеса, последствия беспрепятственного наблюдения действительно вызывают беспокойство», - считает Крюгер.
Объясняя серьезность ситуации, Крюгер сказал, что люди довольно ограничены в прямой борьбе с этим видом отслеживания, учитывая уровень сложности, используемой этими методами снятия отпечатков пальцев, и повсеместное распространение Bluetooth-маяков в продуктах, которые стали важными для нашей повседневная жизнь.
Единственный вариант, который есть у людей, - это искать продукты и услуги с доказанным послужным списком приоритетов конфиденциальности пользователей от компаний, которые выразили поддержку законодательства, направленного на сдерживание широкомасштабного целевого отслеживания людей, как описано в документе.
«Это могут показаться небольшими или даже незначительными шагами для отдельного человека, - признал Крюгер, - но это проблема коллективных действий, и ее можно решить только с помощью устойчивого кумулятивного давления со стороны рынка и регулирующих органов».
