Aparatinės įrangos trūkumas „Bluetooth“ mikroschemų rinkiniuose gali leisti sekti signalą
- Tyrėjai įrodė, kad „Bluetooth“ signalus galima išskirtinai atpažinti dėl mažų lustų netobulumų.
- Tačiau šis procesas labiau tinka žmonių grupėms, o ne pavieniams asmenims sekti, teigia ekspertai.
- Jie siūlo jį naudoti kaip dar vieną pavyzdį, kad būtų skatinamos griežtos taisyklės, siekiant pažaboti sekimą.
Laurence'as Duttonas / Getty Images
Tyrėjai atskleidė dar vienas Bluetooth gedimas, kuris gali kelti pavojų jūsų privatumui, jei tik būtų lengva ginkluoti.
Neseniai vykusioje IEEE saugumo ir privatumo konferencijoje mokslininkai iš Kalifornijos universiteto San Diege pristatė savo išvadas apie „Bluetooth“ lustus, turinčius unikalių aparatinės įrangos trūkumų, iš kurių galima paimti pirštų atspaudus. Tai teoriškai leidžia užpuolikams sekti vartotojus per „Bluetooth“ lustus, įdėtus į jų išmaniąsias programėles, nors patys tyrėjai pripažįsta, kad šis procesas reikalauja daug darbo ir sveiko svorio sėkmė.
„Jų aprašytas naudotojų įrenginių „stebėjimas“ yra dar vienas eskalavimas vykstančiose ginklavimosi varžybose tarp duomenų brokerių ir į privatumą besirūpinančių įrenginių gamintojų.
Bluetooth kriminalistika
Tyrėjai teigia, kad pastaruoju metu mobiliųjų įrenginių, įskaitant išmaniuosius telefonus ir išmaniuosius laikrodžius, padaugėjo dvigubai belaidžiai sekimo švyturiai, nuolat perduodantys signalus tokioms programoms kaip kontaktų sekimas arba pamestų radinių radimas įrenginiai.
Tyrėjų teigimu, mūsų išmanieji įrenginiai nuolat skleidžia šimtus švyturių per minutę. Atlikdami bandymus su keliais išmaniaisiais įrenginiais, jie siųsdavo daugiau nei 800 signalų per minutę „iPhone 10“, o „Apple Watch 4“ kas 60 sekundžių išspjaudavo beveik 600 švyturių.
„Šios [Bluetooth] programos naudoja kriptografinį anonimiškumą, kuris riboja priešininko galimybę naudoti šiuos švyturius vartotojui persekioti“, – pažymėjo mokslininkai. „Tačiau užpuolikai gali apeiti šias gynybas, pirštų atspaudais paimdami unikalius fizinio sluoksnio trūkumus perduodant konkrečius įrenginius.
Tyrimas vertas dėmesio, nes jis padėjo parodyti, kad „Bluetooth“ signalai turi atskirą ir stebimą pirštų atspaudą.
Tačiau tikslus unikalaus įrenginio signalo nustatymo procesas reikalauja šiek tiek pastangų ir ne visada garantuojamas, kad veiks, nes ne visų „Bluetooth“ lustų talpa ir diapazonas yra vienodas.
Virvės vilkimas
„Remiantis tyrimu, neatrodo, kad ši technika būtų naudojama realiame pasaulyje be kai kurių pakartojimų, kad būtų supaprastintas jos naudojimas ir jis būtų stabilesnis. Mattas Psencikas, direktorius, galinių taškų saugos specialistas, adresu Tanis, peržvelgęs popierių, pasakė Lifewire el. paštu.
Psencikas iliustravo savo argumentą sakydamas, kad jis ką tik naudojo „BluetoothLE Scanner“ programėlę, kuri, būdamas trečiame daugiabučio namo aukšte, paėmė šalia jo esančius 165 „Bluetooth“ įrenginius. „Turint tai omenyje, naudojant šį metodą sekti ką nors per daug žmonių perpildytas vietas būtų galima geriau atlikti naudojant klasikinį regėjimo linijos vizualinį stebėjimą“, – sakė Psencikas.
Jis pažymėjo, kad nors tyrėjai nustatė „Bluetooth“ trūkumą, jų sekimo mechanizmas generuotų daug duomenų ir mažai atsipirktų.
galitskaya / Getty Images
Kruegeris sutiko, sakydamas, kad tyrėjų darbas tikriausiai bus įdomus, o ne išnaudojimas atskiriems žmonėms sekti duomenų brokerių įmonėms, kurios bando masiškai stebėti žmones ir parduoti tuos duomenis ar prieigą prie jų reklamai tikslai.
„Nors mažmenininkas gali matyti, kad klientų sekimas per Bluetooth pirštų atspaudus, kai jie juda po savo parduotuvę, yra nekenksmingas klientams ir verslui naudingos, nevaržomo stebėjimo pasekmės išties kelia nerimą“, – tikino. Kriugeris.
Aiškindamas padėties rimtumą, Kruegeris sakė, kad žmonės yra gana neįgalūs tiesiogiai kovoti su tokiu sekimu, atsižvelgiant į šių pirštų atspaudų ėmimo metodų sudėtingumas ir visur esantis „Bluetooth“ signalas gaminiuose, kurie tapo esminiais mūsų kasdieniame gyvenime. gyvybes.
Viena galimybė žmonėms yra ieškoti produktų ir paslaugų, turinčių akivaizdžių rezultatų, teikiančių pirmenybę naudotojų privatumui, iš įmonių, kurios išreiškė paramą teisės aktams, kuriais siekiama pažaboti plačiai paplitusį tikslinį žmonių sekimą, kaip aprašyta popierius.
„Tai gali atrodyti kaip maži ar net nereikšmingi žingsniai, kuriuos žmogus turi imtis“, - pripažino Kruegeris, - bet tai yra kolektyvinių veiksmų problema, ir ją galima išspręsti tik taikant ilgalaikį kumuliacinį rinkos ir reguliavimo spaudimą.