Klíčové poznatky
- Výzkumníci dokazují, že signály Bluetooth lze jednoznačně identifikovat díky drobným nedokonalostem v čipech.
- Tento proces je však vhodnější pro sledování skupin lidí spíše než jednotlivců, navrhují odborníci.
- Navrhují, že by to mělo být použito jako další příklad k prosazení přísných předpisů k omezení sledování.
Výzkumníci odhalili další chybu Bluetooth, která by mohla představovat riziko pro vaše soukromí, pokud by bylo snadné ji použít jako zbraň.
Na nedávné konferenci IEEE Security and Privacy představili vědci z Kalifornské univerzity v San Diegu svá zjištění o čipech Bluetooth s unikátními hardwarovými nedokonalostmi, na které lze sejmout otisky prstů. To teoreticky umožňuje útočníkům sledovat uživatele prostřednictvím čipů Bluetooth zabudovaných v jejich chytrých gadgetech, i když sami výzkumníci přiznávají, že tento proces vyžaduje značné množství práce a pořádnou dávku štěstí.
„Sledování“uživatelských zařízení, která popisují, je další eskalací probíhajícího závodu ve zbrojení mezi zprostředkovateli dat a výrobci zařízení, kteří se zabývají soukromím,“řekl Lifewire e-mailem Evan Krueger, vedoucí inženýrství ve společnosti Token. "Je nepravděpodobné, že by tato technika mohla být použita k cílenému útoku, jako je pronásledování nebo násilí ze strany intimních partnerů způsobem, jakým lidé nedávno viděli používání Apple AirTags."
Bluetooth Forensics
Výzkumníci tvrdí, že v poslední době se mobilní zařízení, včetně chytrých telefonů a chytrých hodinek, zdvojnásobily jako bezdrátové sledovací majáky, které neustále vysílají signály pro aplikace, jako je sledování kontaktů nebo hledání ztracených zařízení.
Podle výzkumníků naše chytrá zařízení neustále vysílají stovky majáků za minutu. Ve svých testech s několika chytrými zařízeními nataktovali iPhone 10 a vysílali přes 800 signálů za minutu, zatímco Apple Watch 4 chrlily téměř 600 majáků každých 60 sekund.
"Tyto [Bluetooth] aplikace využívají kryptografickou anonymitu, která omezuje protivníkovu schopnost používat tyto majáky ke sledování uživatele, " poznamenali výzkumníci. "Útočníci však mohou tuto obranu obejít tím, že otisknou unikátní nedokonalosti fyzické vrstvy při přenosu konkrétních zařízení."
Výzkum je pozoruhodný, protože pomohl prokázat, že signály Bluetooth mají zřetelný a sledovatelný otisk prstu.
Přesný proces identifikace jedinečného signálu zařízení však vyžaduje určité úsilí a není zaručeno, že bude fungovat, protože ne všechny čipy Bluetooth mají stejnou kapacitu a dosah.
Přetahování lanem
"Na základě výzkumu se nezdá pravděpodobné, že by tato technika mohla být použita v reálném světě bez některých iterací, které by zjednodušily její použití a učinily ji stabilnější," Matt Psencik, ředitel, Endpoint Security Specialist, Tanium, řekl Lifewire e-mailem po prostudování novin.
Psencik svůj argument ilustroval tím, že právě použil aplikaci BluetoothLE Scanner, která ve třetím patře činžovního domu zachytila 165 zařízení Bluetooth v jeho blízkosti. "S ohledem na tuto skutečnost by použití této metody ke sledování někoho na přeplněných místech bylo výkonnější s klasickým vizuálním sledováním přímé viditelnosti," řekl Psencik.
Poznamenal, že zatímco výzkumníci identifikovali chybu v Bluetooth, jejich sledovací mechanismus by generoval spoustu dat s malou návratností.
Krueger souhlasil a řekl, že spíše než exploit ke sledování jednotlivých lidí bude práce výzkumníků pravděpodobně zajímavá pro společnosti zprostředkovávající data, které se pokoušejí masově sledovat lidi a prodávat tato data nebo přístup k nim za účelem reklamy účely.
„Zatímco maloobchodník může sledovat sledování zákazníků prostřednictvím otisků prstů Bluetooth, když se pohybují po jejich prodejně, jako neškodné pro zákazníky a přínosné pro obchod, důsledky neomezeného sledování jsou skutečně znepokojivé,“věřil Krueger.
Krueger vysvětlil závažnost situace a řekl, že lidé jsou v přímém boji proti tomuto druhu sledování značně handicapovaní, vzhledem k úrovni sofistikovanosti, kterou tyto techniky snímání otisků prstů využívají, a všudypřítomnosti majáku Bluetooth v produktech, které se staly nezbytnými pro naše každodenní život.
Jedinou možností, kterou lidé mají, je hledat produkty a služby s prokazatelnými zkušenostmi s upřednostňováním soukromí uživatelů, od společností, které vyjádřily podporu legislativě k omezení rozšířeného cíleného sledování lidí, jak je popsáno v dokumentu.
"To se může jednotlivci zdát jako malé nebo dokonce bezvýznamné kroky," uznal Krueger, "ale toto je problém kolektivní akce a lze jej řešit pouze prostřednictvím trvalého, kumulativního tržního a regulačního tlaku."