Key takeaways
- Forskere demonstrerer, at Bluetooth-signaler kan identificeres entydigt takket være små ufuldkommenheder i chipsene.
- Processen er imidlertid bedre egnet til at spore grupper af mennesker frem for enkeltpersoner, foreslår eksperter.
- De foreslår, at det skal bruges som endnu et eksempel til at presse på for strenge regler for at begrænse sporing.
Forskere har afsløret en anden Bluetooth-fejl, som kunne udgøre en risiko for dit privatliv, hvis bare det var nemt at våben.
På den nylige IEEE Security and Privacy-konference præsenterede forskere fra University of California, San Diego, deres resultater om Bluetooth-chips med unikke hardware-ufuldkommenheder, som kan tages med fingeraftryk. Dette giver teoretisk angribere mulighed for at spore brugere gennem Bluetooth-chips, der er indlejret i deres smarte gadgets, selvom forskerne selv indrømmer, at processen kræver en betydelig mængde arbejde og en sund klat held.
""Sporingen" af brugerenheder, de beskriver, er endnu en eskalering i det igangværende våbenkapløb mellem datamæglere og privatlivsorienterede enhedsproducenter," sagde Evan Krueger, Head of Engineering hos Token, til Lifewire via e-mail. "Det er usandsynligt, at denne teknik vil blive brugt til et målrettet angreb, som f.eks. forfølgelse eller vold i intim partnerskab på den måde, folk har set Apple AirTags brugt for nylig."
Bluetooth Forensics
Forskerne hævder, at mobile enheder, inklusive smartphones og smarture, på det seneste er blevet fordoblet som trådløse sporingsbeacons, der konstant transmitterer signaler til applikationer såsom kontaktsporing eller at finde mistede enheder.
Ifølge forskerne sender vores smarte enheder konstant hundredvis af beacons i minuttet. I deres test med adskillige smartenheder klokkede de iPhone 10 og sendte over 800 signaler i minuttet, mens Apple Watch 4 spyttede næsten 600 beacons hvert 60. sekund.
"Disse [Bluetooth]-applikationer bruger kryptografisk anonymitet, der begrænser en modstanders mulighed for at bruge disse beacons til at forfølge en bruger," bemærkede forskerne. "Angribere kan dog omgå disse forsvar ved at tage fingeraftryk af de unikke fysiske lag ufuldkommenheder i transmissioner af specifikke enheder."
Undersøgelsen er bemærkelsesværdig, da den har været med til at demonstrere, at Bluetooth-signaler har et tydeligt og sporbart fingeraftryk.
Den nøjagtige proces til at identificere en enheds unikke signal kræver dog noget arbejde, og det er ikke altid garanteret at virke, da ikke alle Bluetooth-chips har samme kapacitet og rækkevidde.
Tug of War
"Baseret på forskningen ser det ikke ud til, at denne teknik vil blive brugt i den virkelige verden uden nogle gentagelser for at forenkle brugen og gøre den mere stabil," Matt Psencik, direktør, Endpoint Security Specialist, hos Tanium, fort alte Lifewire via e-mail efter at have læst avisen igennem.
Psencik illustrerede hans argument ved at sige, at han netop brugte en BluetoothLE Scanner-app, som hentede 165 Bluetooth-enheder i nærheden af ham, mens han var på tredje sal i en lejlighedsbygning. "Med dette i tankerne ville det at bruge denne metode til at spore nogen gennem overfyldte steder være en bedrift, der er bedre opnået med klassisk synslinje," sagde Psencik.
Han bemærkede, at mens forskerne har identificeret en fejl i Bluetooth, ville deres sporingsmekanisme generere en hel masse data med ringe udbytte.
Krueger var enig og sagde, at snarere end en udnyttelse til at spore individuelle mennesker, vil forskernes arbejde sandsynligvis være af interesse for datamæglervirksomheder, der forsøger at overvåge folk i massevis og sælge disse data eller adgang til dem til reklamer formål.
"Mens en forhandler kan se sporing af kunder via Bluetooth-fingeraftryk, når de bevæger sig rundt i deres butik, som harmløs for kunderne og gavnlig for virksomheden, er konsekvenserne af uhæmmet overvågning virkelig bekymrende," mente Krueger.
For at forklare alvoren af situationen sagde Krueger, at folk er ret handicappede i direkte bekæmpelse af denne form for sporing i betragtning af det sofistikerede niveau, der anvendes af disse fingeraftryksteknikker og allestedsnærværende Bluetooth-beaconing i produkter, der er blevet afgørende for vores daglige liv.
Den eneste mulighed, folk har, er at lede efter produkter og tjenester med en påviselig erfaring med at prioritere brugernes privatliv, fra virksomheder, der har givet udtryk for støtte til lovgivning for at begrænse udbredt målrettet sporing af mennesker, som beskrevet i avisen.
"Det kan føles som små eller ligefrem uvæsentlige skridt for en person at tage," erkendte Krueger, "men dette er et problem med kollektiv handling, og det kan kun løses gennem vedvarende, kumulativt markeds- og reguleringsmæssigt pres."