Pagrindiniai pasiėmimai
- Tyrėjai įrodo, kad dėl mažų lustų netobulumų galima vienareikšmiškai atpažinti „Bluetooth“signalus.
- Tačiau šis procesas labiau tinka žmonių grupėms, o ne pavieniams asmenims sekti, pataria ekspertai.
- Jie siūlo jį naudoti kaip dar vieną pavyzdį, kad būtų reikalaujama griežtų taisyklių, kad būtų pažabota sekimas.
Tyrėjai atskleidė dar vieną „Bluetooth“trūkumą, dėl kurio gali kilti pavojus jūsų privatumui, jei tik būtų lengva ginkluoti.
Neseniai vykusioje IEEE saugumo ir privatumo konferencijoje mokslininkai iš Kalifornijos universiteto San Diege pristatė savo išvadas apie „Bluetooth“lustus, turinčius unikalių aparatinės įrangos trūkumų, iš kurių galima paimti pirštų atspaudus. Tai teoriškai leidžia užpuolikams sekti vartotojus per „Bluetooth“lustus, įdėtus į jų išmaniąsias programėles, nors patys tyrėjai pripažįsta, kad šis procesas reikalauja daug darbo ir sveikos sėkmės.
„Jų aprašytas naudotojų įrenginių „stebėjimas“yra dar vienas eskalavimas vykstančiose ginklavimosi varžybose tarp duomenų brokerių ir į privatumą žiūrinčių įrenginių gamintojų“, – „Lifewire“el. paštu sakė Evanas Kruegeris, Token inžinerijos vadovas. „Šis metodas vargu ar bus naudojamas tiksliniams išpuoliams, pvz., persekiojimui ar smurtui prieš artimus partnerius, kaip žmonės matė, kaip pastaruoju metu naudojamos Apple AirTags.“
Bluetooth Forensics
Tyrėjai teigia, kad pastaruoju metu mobilieji įrenginiai, įskaitant išmaniuosius telefonus ir išmaniuosius laikrodžius, tapo dvigubai naudojami kaip belaidžiai sekimo švyturiai, nuolat perduodantys signalus tokioms programoms kaip kontaktų atsekimas ar pamestų įrenginių paieška.
Tyrėjų teigimu, mūsų išmanieji įrenginiai nuolat skleidžia šimtus švyturių per minutę. Atlikdami bandymus su keliais išmaniaisiais įrenginiais, jie stebėjo „iPhone 10“, siųsdamas daugiau nei 800 signalų per minutę, o „Apple Watch 4“kas 60 sekundžių išspjaudavo beveik 600 švyturių.
„Šiose [Bluetooth] programose naudojamas kriptografinis anonimiškumas, kuris riboja priešininko galimybę naudoti šiuos švyturius vartotojui persekioti“, – pažymėjo tyrėjai. „Tačiau užpuolikai gali apeiti šią apsaugą, pirštų atspaudus paimdami unikalius fizinio sluoksnio trūkumus perduodant konkrečius įrenginius.“
Tyrimas vertas dėmesio, nes jis padėjo įrodyti, kad „Bluetooth“signalai turi atskirą ir stebimą pirštų atspaudą.
Tačiau tikslus unikalaus įrenginio signalo identifikavimo procesas reikalauja šiek tiek pastangų ir ne visada garantuojamas, kad veiks, nes ne visų „Bluetooth“lustų talpa ir diapazonas yra vienodas.
Viro vilkimas
„Remiantis atliktais tyrimais, neatrodo, kad ši technika būtų naudojama realiame pasaulyje be kai kurių pakartojimų, kad būtų supaprastintas ir stabilesnis“, – sakė Mattas Psencikas, „Tanium“galutinio taško saugumo specialisto direktorius, el. paštu pasakė „Lifewire“, peržvelgęs popierių.
Psencikas iliustravo savo argumentą sakydamas, kad jis ką tik naudojo „BluetoothLE Scanner“programėlę, kuri, būdamas trečiame daugiabučio namo aukšte, paėmė šalia jo esančius 165 „Bluetooth“įrenginius. „Turint tai omenyje, naudojant šį metodą sekti asmenį per daug žmonių susibūrimo vietas būtų geriau atlikti klasikinį regėjimo linijos vizualinį stebėjimą“, – sakė Psencik.
Jis pažymėjo, kad nors tyrėjai nustatė „Bluetooth“trūkumą, jų sekimo mechanizmas generuotų daug duomenų ir mažai pasiteisintų.
Kruegeris sutiko, sakydamas, kad tyrėjų darbas, o ne išnaudojimas atskiriems žmonėms sekti, tikriausiai bus įdomus duomenų brokerių įmonėms, kurios bando masiškai stebėti žmones ir parduoti tuos duomenis arba prieigą prie jų reklamai. tikslams.
„Nors mažmenininkas gali matyti klientų sekimą per Bluetooth pirštų atspaudus, kai jie juda po savo parduotuvę, kaip nekenksmingą klientams ir naudingą verslui, nevaržomo stebėjimo pasekmės iš tiesų kelia nerimą“, – įsitikinęs Kruegeris.
Aiškindamas padėties rimtumą, Kruegeris sakė, kad žmonės yra gana nepajėgūs tiesiogiai kovoti su tokio tipo sekimu, atsižvelgiant į šių pirštų atspaudų ėmimo metodų sudėtingumo lygį ir „Bluetooth“signalų naudojimą gaminiuose, kurie tapo labai svarbūs mūsų kasdieniame gyvenime.
Vienintelė galimybė žmonėms yra ieškoti produktų ir paslaugų, kurių naudotojų privatumui teikiama pirmenybė.
„Tai gali atrodyti kaip maži ar net nereikšmingi žingsniai, kuriuos asmuo turi žengti, – pripažino Kruegeris, – tačiau tai yra kolektyvinių veiksmų problema, kurią galima išspręsti tik taikant nuolatinį, kaupiamąjį rinkos ir reguliavimo spaudimą.
