Clau per emportar
- Els investigadors demostren que els senyals Bluetooth es poden identificar de manera única gràcies a les petites imperfeccions dels xips.
- El procés, però, és més adequat per fer un seguiment de grups de persones que d'individus, suggereixen experts.
- Suggereixen que s'hauria d'utilitzar com un altre exemple per impulsar regulacions estrictes per frenar el seguiment.
Els investigadors han descobert un altre defecte de Bluetooth, que podria suposar un risc per a la vostra privadesa si només fos fàcil d'armar.
A la recent conferència de seguretat i privadesa de l'IEEE, investigadors de la Universitat de Califòrnia, San Diego, van presentar les seves conclusions sobre els xips Bluetooth amb imperfeccions de maquinari úniques que es poden marcar amb empremtes digitals. Això, teòricament, permet als atacants fer un seguiment dels usuaris a través dels xips Bluetooth integrats als seus aparells intel·ligents, tot i que els mateixos investigadors admeten que el procés requereix una quantitat considerable de treball i una bona mica de sort.
"El 'seguiment' dels dispositius d'usuari que descriuen és una altra escalada en la carrera armamentista en curs entre els intermediaris de dades i els fabricants de dispositius amb ment de privadesa", va dir Evan Krueger, cap d'enginyeria de Token, a Lifewire per correu electrònic. "És poc probable que aquesta tècnica s'utilitzi per a un atac dirigit, com ara l'assetjament o la violència de la parella íntima de la mateixa manera que la gent ha vist que els Apple AirTags s'utilitzen recentment."
Bluetooth Forensics
Els investigadors argumenten que darrerament, els dispositius mòbils, inclosos els telèfons intel·ligents i els rellotges intel·ligents, s'han duplicat com a balises de seguiment sense fil, transmetent constantment senyals per a aplicacions com el rastreig de contactes o la recerca de dispositius perduts.
Segons els investigadors, els nostres dispositius intel·ligents emeten constantment centenars de balises per minut. En les seves proves amb diversos dispositius intel·ligents, van marcar l'iPhone 10, enviant més de 800 senyals per minut, mentre que l'Apple Watch 4 escopia gairebé 600 balises cada 60 segons.
"Aquestes aplicacions [Bluetooth] utilitzen l'anonimat criptogràfic que limiten la capacitat de l'adversari d'utilitzar aquestes balises per perseguir un usuari", van assenyalar els investigadors. "No obstant això, els atacants poden eludir aquestes defenses mitjançant l'empremta digital de les imperfeccions úniques de la capa física en les transmissions de dispositius específics."
La investigació és destacable, ja que ha ajudat a demostrar que els senyals Bluetooth tenen una empremta digital diferent i rastrejable.
No obstant això, el procés exacte per identificar el senyal únic d'un dispositiu requereix una mica de treball i no sempre es garanteix que funcioni, ja que no tots els xips Bluetooth tenen la mateixa capacitat i abast.
Estira amunt
"Segons la investigació, no sembla probable que aquesta tècnica s'utilitzi al món real sense algunes iteracions per simplificar-ne l'ús i fer-la més estable", Matt Psencik, director, especialista en seguretat de punt final de Tanium, va dir a Lifewire per correu electrònic, després de llegir el document.
Psencik va il·lustrar el seu argument dient que acabava d'utilitzar una aplicació d'escàner BluetoothLE que va recollir 165 dispositius Bluetooth a prop seu mentre estava al tercer pis d'un edifici d'apartaments. "Tenint això en ment, utilitzar aquest mètode per fer un seguiment d'algú a través de llocs concorreguts seria una proesa millor feta amb el seguiment visual clàssic de la línia de visió", va dir Psencik.
Va assenyalar que, tot i que els investigadors han identificat un defecte en Bluetooth, el seu mecanisme de seguiment generaria moltes dades amb poc benefici.
Krueger va estar d'acord, dient que en lloc d'una explotació per rastrejar persones individuals, el treball dels investigadors probablement serà d'interès per a les empreses de corredors de dades que intenten vigilar la gent en massa i vendre aquestes dades, o accedir-hi, per fer-ne publicitat. finalitats.
"Si bé un minorista pot veure que el seguiment dels clients mitjançant empremtes digitals Bluetooth mentre es mouen per la seva botiga és inofensiu per als clients i beneficiós per al negoci, les conseqüències d'una vigilància sense restriccions són realment preocupants", va creure Krueger..
Explicant la gravetat de la situació, Krueger va dir que la gent està força discapacitada per combatre directament aquest tipus de seguiment, donat el nivell de sofisticació que utilitzen aquestes tècniques d'empremtes dactilars i la ubiqüitat del balisament Bluetooth en productes que s'han convertit en essencials per als nostres vida diària.
L'única opció que té la gent és buscar productes i serveis amb un historial demostrable de prioritzar la privadesa dels usuaris, des d'empreses que han donat suport a la legislació per frenar el seguiment generalitzat de persones, tal com es descriu al document.
"Poden semblar passos petits o fins i tot poc importants per a una persona", va reconèixer Krueger, "però aquest és un problema d'acció col·lectiva, i només es pot abordar mitjançant una pressió reguladora i de mercat sostinguda i acumulada".
