Hardwarefout in Bluetooth-chipsets kan signaaltracking mogelijk maken

June 15, 2022
InDiversen

Onderzoekers tonen aan dat Bluetooth-signalen uniek kunnen worden geïdentificeerd dankzij kleine imperfecties in de chips.
Het proces is echter beter geschikt voor het volgen van groepen mensen in plaats van individuen, suggereren experts.
Ze stellen voor dat het als een ander voorbeeld moet worden gebruikt om aan te dringen op strenge regelgeving om tracking te beteugelen.

Investeerder beoordeelt beursgegevens op verschillende monitoren — Laurence Dutton / Getty Images

Onderzoekers hebben ontdekt nog een Bluetooth-fout, wat een risico zou kunnen vormen voor uw privacy, al was het maar gemakkelijk te bewapenen.

Op de recente IEEE Security and Privacy-conferentie hebben onderzoekers van de University of California, San Diego, presenteerden hun bevindingen over Bluetooth-chips met unieke hardware-imperfecties waarvan vingerafdrukken kunnen worden genomen. Dit stelt aanvallers theoretisch in staat om gebruikers te volgen via de Bluetooth-chips die zijn ingebed in hun slimme gadgets, hoewel de onderzoekers zelf toegeven dat het proces een aanzienlijke hoeveelheid werk en een gezonde klodder geluk.

"Het 'volgen' van gebruikersapparaten die ze beschrijven, is een nieuwe escalatie in de voortdurende wapenwedloop tussen datamakelaars en privacybewuste apparaatfabrikanten", Evan Krueger, Hoofd Engineering bij token, vertelde Lifewire via e-mail. "Het is onwaarschijnlijk dat deze techniek wordt gebruikt voor een gerichte aanval, zoals stalking of partnergeweld zoals mensen Apple AirTags recentelijk hebben zien gebruiken."

Bluetooth forensisch onderzoek

De onderzoekers beweren dat mobiele apparaten, waaronder smartphones en slimme horloges, de laatste tijd zijn verdubbeld als draadloze volgbakens, die constant signalen uitzenden voor toepassingen zoals contacttracering of verloren vinden apparaten.

Volgens de onderzoekers stralen onze slimme apparaten continu honderden bakens per minuut uit. In hun tests met verschillende slimme apparaten klokten ze de iPhone 10, die meer dan 800 signalen per minuut uitzond, terwijl de Apple Watch 4 elke 60 seconden bijna 600 bakens uitspuugde.

"Deze [Bluetooth]-applicaties gebruiken cryptografische anonimiteit die het vermogen van een tegenstander om deze bakens te gebruiken om een gebruiker te stalken, beperkt", merkten de onderzoekers op. "Aanvallers kunnen deze verdediging echter omzeilen door vingerafdrukken te nemen van de unieke fysieke laag-imperfecties in de transmissies van specifieke apparaten."

Het onderzoek is opmerkelijk omdat het heeft geholpen aan te tonen dat Bluetooth-signalen een duidelijke en traceerbare vingerafdruk hebben.

Het exacte proces voor het identificeren van het unieke signaal van een apparaat vergt echter enige inspanning en werkt niet altijd gegarandeerd, aangezien niet alle Bluetooth-chips dezelfde capaciteit en hetzelfde bereik hebben.

Touwtrekken

"Op basis van het onderzoek lijkt het niet waarschijnlijk dat deze techniek in de echte wereld zal worden gebruikt zonder enkele iteraties om het gebruik ervan te vereenvoudigen en stabieler te maken," Matt Psencik, Directeur, Endpoint Security Specialist, bij Tanium, vertelde Lifewire via e-mail, na het doorlezen van de krant.

Psencik illustreerde zijn argument door te zeggen dat hij zojuist een BluetoothLE Scanner-app gebruikte die 165 Bluetooth-apparaten bij hem in de buurt oppikte terwijl hij zich op de derde verdieping van een flatgebouw bevond. "Met dit in gedachten, zou het gebruik van deze methode om iemand door drukke plaatsen te volgen een prestatie zijn die beter kan worden bereikt met klassieke visuele visuele tracking", zei Psencik.

Hij merkte op dat hoewel de onderzoekers een fout in Bluetooth hebben vastgesteld, hun trackingmechanisme een heleboel gegevens zou genereren met weinig resultaat.

Iemand die een smartphone gebruikt, zendt een signaal uit als ze langs een andere persoon lopen die een smartphone gebruikt en een beschermend masker draagt. — galitskaya / Getty Images

Krueger was het ermee eens en zei dat het werk van de onderzoekers waarschijnlijk van belang zal zijn in plaats van een exploit om individuele mensen te volgen aan gegevensmakelaarsbedrijven die massaal mensen proberen te surveilleren en die gegevens of toegang ertoe verkopen voor advertenties doeleinden.

"Terwijl een detailhandelaar het volgen van klanten via Bluetooth-vingerafdrukken terwijl ze zich door hun winkel verplaatsen, als onschadelijk kan beschouwen, de klanten en gunstig voor het bedrijf, de gevolgen van onbelemmerde surveillance zijn inderdaad zorgwekkend," geloofde Krüger.

De ernst van de situatie uitleggend, zei Krueger dat mensen redelijk gehandicapt zijn in het direct bestrijden van dit soort tracking, gezien het niveau van verfijning die wordt gebruikt door deze vingerafdruktechnieken en de alomtegenwoordigheid van Bluetooth-beaconing in producten die essentieel zijn geworden voor onze dagelijkse leeft.

De enige optie die mensen hebben is om te zoeken naar producten en diensten met een aantoonbare staat van dienst op het gebied van het prioriteren van gebruikersprivacy, van bedrijven die hun steun hebben uitgesproken voor wetgeving om wijdverbreide gerichte tracking van mensen aan banden te leggen, zoals beschreven in de papier.

"Dat kunnen kleine of zelfs onbelangrijke stappen zijn voor een individu om te nemen," erkende Krueger, "maar dit is een collectief actieprobleem, en het kan alleen worden aangepakt door aanhoudende, cumulatieve markt- en regeldruk."