Kľúčové poznatky
- Výskumníci demonštrujú, že signály Bluetooth možno jednoznačne identifikovať vďaka malým nedokonalostiam v čipoch.
- Tento proces je však vhodnejší na sledovanie skupín ľudí a nie jednotlivcov, navrhujú odborníci.
- Navrhujú, aby sa to použilo ako ďalší príklad na presadzovanie prísnych predpisov na obmedzenie sledovania.
Výskumníci odhalili ďalšiu chybu Bluetooth, ktorá by mohla predstavovať riziko pre vaše súkromie, ak by sa dala ľahko použiť ako zbraň.
Na nedávnej konferencii IEEE Security and Privacy prezentovali výskumníci z Kalifornskej univerzity v San Diegu svoje zistenia o čipoch Bluetooth s jedinečnými hardvérovými nedokonalosťami, na ktoré je možné odobrať odtlačky prstov. To teoreticky umožňuje útočníkom sledovať používateľov prostredníctvom čipov Bluetooth zabudovaných v ich inteligentných zariadeniach, hoci sami výskumníci pripúšťajú, že tento proces si vyžaduje značné množstvo práce a zdravú dávku šťastia.
„Sledovanie“používateľských zariadení, ktoré popisujú, je ďalšou eskaláciou v prebiehajúcich pretekoch v zbrojení medzi sprostredkovateľmi údajov a výrobcami zariadení na ochranu súkromia,“povedal pre Lifewire e-mailom Evan Krueger, vedúci inžinierstva v Token. "Je nepravdepodobné, že by sa táto technika použila na cielený útok, ako je prenasledovanie alebo násilie zo strany intímnych partnerov spôsobom, akým ľudia nedávno videli používanie Apple AirTags."
Bluetooth Forenzná
Výskumníci tvrdia, že v poslednej dobe sa mobilné zariadenia vrátane smartfónov a inteligentných hodiniek zdvojnásobili ako bezdrôtové sledovacie majáky, ktoré neustále vysielajú signály pre aplikácie, ako je sledovanie kontaktov alebo hľadanie stratených zariadení.
Podľa výskumníkov naše inteligentné zariadenia neustále vyžarujú stovky majákov za minútu. Vo svojich testoch s niekoľkými inteligentnými zariadeniami nataktovali iPhone 10 a odoslali viac ako 800 signálov za minútu, zatiaľ čo Apple Watch 4 vypľúvali takmer 600 majákov každých 60 sekúnd.
"Tieto [Bluetooth] aplikácie využívajú kryptografickú anonymitu, ktorá obmedzuje protivníkovu schopnosť používať tieto majáky na sledovanie používateľa, " poznamenali výskumníci. „Útočníci však môžu túto obranu obísť odtlačkom jedinečných nedokonalostí fyzickej vrstvy pri prenose konkrétnych zariadení.“
Výskum je pozoruhodný, pretože pomohol preukázať, že signály Bluetooth majú zreteľný a sledovateľný odtlačok prsta.
Presný proces identifikácie jedinečného signálu zariadenia však vyžaduje určité úsilie a nie vždy je zaručené, že bude fungovať, pretože nie všetky čipy Bluetooth majú rovnakú kapacitu a dosah.
Preťahovanie lanom
"Na základe výskumu sa nezdá pravdepodobné, že by sa táto technika používala v reálnom svete bez niektorých iterácií, ktoré by zjednodušili jej používanie a urobili ju stabilnejšou," Matt Psencik, riaditeľ, špecialista na bezpečnosť koncových bodov, v Tanium, povedal Lifewire e-mailom po prečítaní novin.
Psencik ilustroval svoj argument tým, že práve použil aplikáciu BluetoothLE Scanner, ktorá zachytila 165 zariadení Bluetooth v jeho blízkosti na treťom poschodí bytového domu. "S ohľadom na túto skutočnosť by bolo použitie tejto metódy na sledovanie niekoho cez preplnené miesta výkon, ktorý by bolo lepšie dosiahnuť s klasickým vizuálnym sledovaním priamou viditeľnosťou," povedal Psencik.
Poznamenal, že hoci výskumníci identifikovali chybu v Bluetooth, ich sledovací mechanizmus by generoval veľké množstvo údajov s malou návratnosťou.
Krueger súhlasil a povedal, že práca výskumníkov bude pravdepodobne skôr zaujímavá pre spoločnosti sprostredkujúce údaje, ktoré sa pokúšajú masovo sledovať ľudí a predávať tieto údaje alebo prístup k nim na účely reklamy účely.
„Zatiaľ čo maloobchodník môže považovať sledovanie zákazníkov prostredníctvom odtlačkov prstov Bluetooth, keď sa pohybujú v ich obchode za neškodné pre zákazníkov a prospešné pre podnikanie, dôsledky neobmedzeného sledovania sú skutočne znepokojujúce,“domnieva sa Krueger.
Pri vysvetľovaní závažnosti situácie Krueger povedal, že ľudia sú dosť hendikepovaní v priamom boji proti tomuto druhu sledovania, vzhľadom na úroveň sofistikovanosti, ktorú využívajú tieto techniky snímania odtlačkov prstov, a všadeprítomnosť signalizácie Bluetooth v produktoch, ktoré sa stali nevyhnutnými pre naše každodenný život.
Jednou možnosťou, ktorú ľudia majú, je hľadať produkty a služby s preukázateľnými záznamami o uprednostňovaní súkromia používateľov od spoločností, ktoré vyjadrili podporu legislatíve na obmedzenie rozšíreného cieleného sledovania ľudí, ako je opísané v dokumente.
"Toto môže jednotlivec urobiť ako malé alebo dokonca bezvýznamné kroky," uznal Krueger, "ale toto je problém kolektívnej akcie a možno ho riešiť iba trvalým, kumulatívnym trhovým a regulačným tlakom."
