Kluczowe dania na wynos
- Naukowcy wykazują, że sygnały Bluetooth można jednoznacznie zidentyfikować dzięki niewielkim niedoskonałościom chipów.
- Proces ten jest jednak lepiej dostosowany do śledzenia grup ludzi niż pojedynczych osób, sugerują eksperci.
- Sugerują, że należy to wykorzystać jako kolejny przykład nacisku na rygorystyczne przepisy dotyczące śledzenia.
Naukowcy odkryli kolejną usterkę Bluetooth, która mogłaby stanowić zagrożenie dla Twojej prywatności, gdyby tylko była łatwa do uzbrojenia.
Na niedawnej konferencji IEEE Security and Privacy, naukowcy z Uniwersytetu Kalifornijskiego w San Diego przedstawili swoje odkrycia dotyczące chipów Bluetooth posiadających unikalne niedoskonałości sprzętowe, które można zidentyfikować. Teoretycznie umożliwia to atakującym śledzenie użytkowników za pomocą chipów Bluetooth wbudowanych w ich inteligentne gadżety, chociaż sami badacze przyznają, że proces ten wymaga znacznego nakładu pracy i odrobiny szczęścia.
„„Śledzenie” urządzeń użytkowników, które opisują, to kolejna eskalacja trwającego wyścigu zbrojeń między brokerami danych a producentami urządzeń dbających o prywatność” – powiedział Lifewire Evan Krueger, szef inżynierii w Token. „Ta technika jest mało prawdopodobna, aby zostać wykorzystana do ukierunkowanego ataku, takiego jak stalking lub przemoc intymna ze strony partnera w sposób, w jaki ludzie widzieli ostatnio używane tagi Apple AirTag”.
Śledcza Bluetooth
Naukowcy twierdzą, że ostatnio urządzenia mobilne, w tym smartfony i inteligentne zegarki, podwoiły się jako bezprzewodowe sygnały nawigacyjne, stale przesyłające sygnały do aplikacji takich jak śledzenie kontaktów lub znajdowanie zgubionych urządzeń.
Według naukowców nasze inteligentne urządzenia nieustannie wysyłają setki beaconów na minutę. W swoich testach z kilkoma inteligentnymi urządzeniami taktowali iPhone'a 10, wysyłając ponad 800 sygnałów na minutę, podczas gdy Apple Watch 4 wysyła prawie 600 beaconów co 60 sekund.
„Te aplikacje [Bluetooth] wykorzystują anonimowość kryptograficzną, która ogranicza zdolność przeciwnika do korzystania z tych sygnałów nawigacyjnych do śledzenia użytkownika” – zauważyli badacze. „Jednak osoby atakujące mogą ominąć te mechanizmy obronne, identyfikując unikalne niedoskonałości warstwy fizycznej w transmisji określonych urządzeń”.
Badania są godne uwagi, ponieważ pomogły wykazać, że sygnały Bluetooth mają wyraźny i możliwy do śledzenia odcisk palca.
Jednakże dokładny proces identyfikacji unikalnego sygnału urządzenia wymaga trochę pracy i nie zawsze jest gwarantowany, ponieważ nie wszystkie układy Bluetooth mają taką samą pojemność i zasięg.
Przeciąganie liny
„W oparciu o badania, wydaje się, że ta technika nie będzie prawdopodobnie używana w prawdziwym świecie bez kilku iteracji, które uproszczą jej użycie i uczynią ją bardziej stabilną”, Matt Psencik, dyrektor, specjalista ds. bezpieczeństwa punktów końcowych, w Tanium, powiedział Lifewire przez e-mail, po przejrzeniu gazety.
Psencik zilustrował swoją argumentację, mówiąc, że właśnie użył aplikacji BluetoothLE Scanner, która przechwyciła 165 urządzeń Bluetooth znajdujących się w pobliżu niego, gdy był na trzecim piętrze budynku mieszkalnego. „Mając to na uwadze, użycie tej metody do śledzenia kogoś w zatłoczonych miejscach byłoby wyczynem lepszym do osiągnięcia dzięki klasycznemu wizualnemu śledzeniu linii wzroku” – powiedział Psencik.
Zauważył, że chociaż naukowcy zidentyfikowali usterkę w Bluetooth, ich mechanizm śledzenia generowałby dużo danych przy niewielkiej opłacalności.
Krueger zgodził się, mówiąc, że zamiast exploita do śledzenia poszczególnych osób, praca badaczy prawdopodobnie zainteresuje firmy zajmujące się brokerami danych, które próbują masowo inwigilować ludzi i sprzedawać te dane lub dostęp do nich w celach reklamowych celów.
„Chociaż sprzedawca detaliczny może postrzegać śledzenie klientów za pomocą odcisków palców Bluetooth podczas poruszania się po sklepie jako nieszkodliwe dla klientów i korzystne dla biznesu, konsekwencje nieskrępowanego nadzoru są rzeczywiście niepokojące” – uważa Krueger.
Wyjaśniając powagę sytuacji, Krueger powiedział, że ludzie są dość utrudnieni w bezpośredniej walce z tego rodzaju śledzeniem, biorąc pod uwagę poziom zaawansowania zastosowany w tych technikach pobierania odcisków palców i wszechobecność sygnalizacji Bluetooth w produktach, które stały się niezbędne dla naszego codzienne życie.
Jedyną opcją, jaką mają ludzie, jest poszukiwanie produktów i usług z udokumentowanymi osiągnięciami w zakresie priorytetowego traktowania prywatności użytkowników, od firm, które wyraziły poparcie dla przepisów mających na celu ograniczenie powszechnego ukierunkowanego śledzenia osób, jak opisano w artykule.
„Mogą to wydawać się małymi lub nawet nieistotnymi krokami do podjęcia przez jednostkę”, przyznał Krueger, „ale jest to problem związany z działaniem zbiorowym i można go rozwiązać jedynie poprzez stałą, kumulatywną presję rynkową i regulacyjną”.
