Maskinvarefeil i Bluetooth-brikkesett kan tillate signalsporing

June 15, 2022
IMiscellanea

Forskere demonstrerer at Bluetooth-signaler kan identifiseres unikt takket være små ufullkommenheter i brikkene.
Prosessen er imidlertid bedre egnet for å spore grupper av mennesker i stedet for enkeltpersoner, foreslår eksperter.
De foreslår at det bør brukes som et annet eksempel for å presse på for strenge regler for å dempe sporing.

Investor gjennomgår børsdata på flere skjermer — Laurence Dutton / Getty Images

Forskere har avdekket en annen Bluetooth-feil, som kan utgjøre en risiko for personvernet ditt hvis det bare var enkelt å bruke våpen.

På den nylige IEEE Security and Privacy-konferansen, forskere fra University of California, San Diego, presenterte sine funn om Bluetooth-brikker som har unike maskinvarefeil som kan tas med fingeravtrykk. Dette gjør det teoretisk sett mulig for angripere å spore brukere gjennom Bluetooth-brikkene som er innebygd i smarte gadgets, selv om forskerne selv innrømmer at prosessen krever en betydelig mengde arbeid og en sunn mengde flaks.

«Sporingen» av brukerenheter de beskriver er nok en eskalering i det pågående våpenkappløpet mellom datameglere og personvernorienterte enhetsprodusenter,»

Evan Krueger, ingeniørsjef ved Token, fortalte Lifewire over e-post. "Denne teknikken vil neppe bli brukt til et målrettet angrep, som forfølgelse eller vold i nære relasjoner slik folk har sett Apple AirTags brukt i det siste."

Bluetooth etterforskning

Forskerne hevder at i det siste har mobile enheter, inkludert smarttelefoner og smartklokker, doblet seg som trådløse sporingssignaler, som konstant overfører signaler for applikasjoner som kontaktsporing eller å finne tapt enheter.

Ifølge forskerne sender våre smarte enheter konstant hundrevis av beacons per minutt. I sine tester med flere smarte enheter klokket de iPhone 10, og sendte ut over 800 signaler i minuttet, mens Apple Watch 4 spyttet nesten 600 beacons hvert 60. sekund.

"Disse [Bluetooth]-applikasjonene bruker kryptografisk anonymitet som begrenser en motstanders mulighet til å bruke disse fyrene for å forfølge en bruker," bemerket forskerne. "Men angripere kan omgå disse forsvarene ved å ta fingeravtrykk av de unike fysiske lagets ufullkommenhet i overføringene til spesifikke enheter."

Forskningen er bemerkelsesverdig siden den har bidratt til å demonstrere at Bluetooth-signaler har et distinkt og sporbart fingeravtrykk.

Den nøyaktige prosessen for å identifisere det unike signalet til en enhet tar imidlertid litt tid, og det er ikke alltid garantert å fungere siden ikke alle Bluetooth-brikker har samme kapasitet og rekkevidde.

Tautrekking

"Basert på forskningen ser det ikke ut til at denne teknikken vil bli brukt i den virkelige verden uten noen iterasjoner for å forenkle bruken og gjøre den mer stabil," Matt Psencik, direktør, spesialist på endepunktsikkerhet, kl Tanium, fortalte Lifewire over e-post, etter å ha lest gjennom avisen.

Psencik illustrerte argumentet sitt ved å si at han nettopp brukte en BluetoothLE Scanner-app som fanget opp 165 Bluetooth-enheter i nærheten av ham mens han var i tredje etasje i en bygård. "Med dette i tankene, ville det å bruke denne metoden for å spore noen gjennom overfylte steder være en bragd som er bedre oppnådd med klassisk visuell sporing," sa Psencik.

Han bemerket at mens forskerne har identifisert en feil i Bluetooth, vil sporingsmekanismen deres generere en hel masse data med liten uttelling.

Noen som bruker en smarttelefon og sender ut et signal når de går forbi en annen person som bruker en smarttelefon og har på seg en beskyttende maske. — galitskaya / Getty Images

Krueger var enig, og sa snarere enn en utnyttelse for å spore individuelle mennesker, vil forskernes arbeid sannsynligvis være av interesse til datameglerselskaper som prøver å overvåke folk i massevis og selge disse dataene, eller tilgang til dem, for annonsering formål.

"Mens en forhandler kan se sporing av kunder via Bluetooth-fingeravtrykk når de beveger seg rundt i butikken som ufarlig for kundene og fordelaktig for virksomheten, konsekvensene av uhindret overvåking er virkelig bekymringsfulle,» mente Krueger.

Krueger forklarte alvorligheten av situasjonen og sa at folk er ganske handikappet når det gjelder å direkte bekjempe denne typen sporing, gitt nivået på sofistikert bruk av disse fingeravtrykksteknikkene og allestedsnærværende Bluetooth-beaconing i produkter som har blitt essensielle for vårt daglige bor.

Det eneste alternativet folk har er å se etter produkter og tjenester med en påviselig merittliste for å prioritere brukernes personvern, fra selskaper som har gitt uttrykk for støtte til lovgivning for å begrense utbredt målrettet sporing av personer, som beskrevet i papir.

"De kan føles som små eller til og med ubetydelige skritt for en person å ta," erkjente Krueger, "men dette er et problem med kollektiv handling, og det kan bare løses gjennom vedvarende, kumulativt markeds- og regulatorisk press."