Belangrijkste afhaalrestaurants
- Onderzoekers tonen aan dat Bluetooth-signalen uniek kunnen worden geïdentificeerd dankzij kleine imperfecties in de chips.
- Het proces is echter beter geschikt voor het volgen van groepen mensen in plaats van individuen, suggereren experts.
- Ze suggereren dat het moet worden gebruikt als een ander voorbeeld om aan te dringen op strenge regelgeving om tracking te beteugelen.
Onderzoekers hebben nog een Bluetooth-fout ontdekt, die een risico voor je privacy zou kunnen vormen, als het maar gemakkelijk te bewapenen was.
Tijdens de recente IEEE Security and Privacy-conferentie presenteerden onderzoekers van de Universiteit van Californië, San Diego, hun bevindingen over Bluetooth-chips met unieke hardware-imperfecties waarvan vingerafdrukken kunnen worden genomen. Dit stelt aanvallers theoretisch in staat om gebruikers te volgen via de Bluetooth-chips die in hun slimme gadgets zijn ingebouwd, hoewel de onderzoekers zelf toegeven dat het proces een aanzienlijke hoeveelheid werk en een flinke dosis geluk vereist.
"Het 'volgen' van gebruikersapparaten die ze beschrijven, is een nieuwe escalatie in de voortdurende wapenwedloop tussen gegevensmakelaars en privacybewuste apparaatfabrikanten", vertelde Evan Krueger, hoofd Engineering bij Token, via e-mail aan Lifewire. "Het is onwaarschijnlijk dat deze techniek wordt gebruikt voor een gerichte aanval, zoals stalking of partnergeweld zoals mensen Apple AirTags recentelijk hebben zien gebruiken."
Bluetooth Forensics
De onderzoekers beweren dat mobiele apparaten, waaronder smartphones en slimme horloges, de laatste tijd zijn verdubbeld als draadloze volgbakens, die constant signalen uitzenden voor toepassingen zoals het traceren van contacten of het vinden van verloren apparaten.
Volgens de onderzoekers stralen onze slimme apparaten constant honderden bakens per minuut uit. In hun tests met verschillende slimme apparaten klokten ze de iPhone 10, die meer dan 800 signalen per minuut uitzond, terwijl de Apple Watch 4 elke 60 seconden bijna 600 bakens uitspuwde.
"Deze [Bluetooth]-applicaties gebruiken cryptografische anonimiteit die het vermogen van een tegenstander om deze bakens te gebruiken om een gebruiker te stalken, beperkt", merkten de onderzoekers op. "Aanvallers kunnen deze verdediging echter omzeilen door vingerafdrukken te nemen van de unieke fysieke laag-imperfecties in de transmissies van specifieke apparaten."
Het onderzoek is opmerkelijk omdat het heeft geholpen aan te tonen dat Bluetooth-signalen een duidelijke en traceerbare vingerafdruk hebben.
Het exacte proces voor het identificeren van het unieke signaal van een apparaat vergt echter enige inspanning en werkt niet altijd gegarandeerd, aangezien niet alle Bluetooth-chips dezelfde capaciteit en hetzelfde bereik hebben.
Tug of War
"Op basis van het onderzoek lijkt het niet waarschijnlijk dat deze techniek in de echte wereld zal worden gebruikt zonder enkele iteraties om het gebruik te vereenvoudigen en stabieler te maken", Matt Psencik, directeur, Endpoint Security Specialist, bij Tanium, vertelde Lifewire via e-mail, na het doorlezen van de krant.
Psencik illustreerde zijn argument door te zeggen dat hij zojuist een BluetoothLE Scanner-app gebruikte die 165 Bluetooth-apparaten bij hem in de buurt oppikte terwijl hij zich op de derde verdieping van een flatgebouw bevond. "Met dit in gedachten, zou het gebruik van deze methode om iemand op drukke plaatsen te volgen een prestatie zijn die beter kan worden bereikt met klassieke visuele tracking van de zichtlijn," zei Psencik.
Hij merkte op dat hoewel de onderzoekers een fout in Bluetooth hebben geïdentificeerd, hun volgmechanisme een heleboel gegevens zou genereren met weinig resultaat.
Krueger was het ermee eens en zei dat het werk van de onderzoekers niet zozeer een exploit is om individuele mensen te volgen, maar dat het werk van de onderzoekers waarschijnlijk interessant zal zijn voor datamakelaars die proberen mensen massaal te surveilleren en die gegevens of toegang ertoe te verkopen voor reclame doeleinden.
"Hoewel een detailhandelaar het volgen van klanten via Bluetooth-vingerafdrukken terwijl ze door hun winkel bewegen als onschadelijk voor de klanten en gunstig voor het bedrijf kan zien, zijn de gevolgen van onbelemmerde bewaking inderdaad zorgwekkend", meende Krueger.
Om de ernst van de situatie uit te leggen, zei Krueger dat mensen behoorlijk gehandicapt zijn in het direct bestrijden van dit soort tracking, gezien het niveau van verfijning dat wordt gebruikt door deze vingerafdruktechnieken en de alomtegenwoordigheid van Bluetooth-bakens in producten die essentieel zijn geworden voor onze dagelijks leven.
De enige optie die mensen hebben is om te zoeken naar producten en diensten met een aantoonbare staat van dienst in het prioriteren van gebruikersprivacy, van bedrijven die hun steun hebben uitgesproken voor wetgeving om wijdverbreide gerichte tracking van mensen te beteugelen, zoals beschreven in de krant.
"Dit kunnen kleine of zelfs onbelangrijke stappen zijn voor een individu om te nemen", erkende Krueger, "maar dit is een probleem van collectieve actie, en het kan alleen worden aangepakt door aanhoudende, cumulatieve markt- en regeldruk."
