Ključni podaci za van
- Istraživači pokazuju da se Bluetooth signali mogu jedinstveno identificirati zahvaljujući sitnim nesavršenostima u čipovima.
- Proces je, međutim, prikladniji za praćenje grupa ljudi nego pojedinaca, sugeriraju stručnjaci.
- Predlažu da bi se to trebalo koristiti kao još jedan primjer za poticanje strogih propisa za suzbijanje praćenja.
Istraživači su otkrili još jedan nedostatak Bluetootha, koji bi mogao predstavljati rizik za vašu privatnost samo ako ga je lako naoružati.
Na nedavno održanoj IEEE konferenciji o sigurnosti i privatnosti, istraživači sa Sveučilišta Kalifornija u San Diegu predstavili su svoja otkrića o Bluetooth čipovima koji imaju jedinstvene hardverske nedostatke na kojima se mogu uzeti otisci prstiju. To teoretski omogućuje napadačima da prate korisnike putem Bluetooth čipova ugrađenih u njihove pametne naprave, iako sami istraživači priznaju da proces zahtijeva znatnu količinu rada i zdravu mrlju sreće.
"'Praćenje' korisničkih uređaja koje oni opisuju još je jedna eskalacija u tekućoj utrci u naoružanju između brokera podataka i proizvođača uređaja koji brinu o privatnosti", rekao je Evan Krueger, voditelj inženjeringa u Tokenu, putem e-pošte za Lifewire. "Malo je vjerojatno da će se ova tehnika koristiti za ciljani napad, poput uhođenja ili intimnog partnerskog nasilja na način na koji su ljudi nedavno vidjeli da se koriste Apple AirTags."
Bluetooth forenzika
Istraživači tvrde da su se u posljednje vrijeme mobilni uređaji, uključujući pametne telefone i pametne satove, udvostručili kao svjetionici za bežično praćenje, neprestano odašiljući signale za aplikacije kao što su praćenje kontakata ili pronalaženje izgubljenih uređaja.
Prema istraživačima, naši pametni uređaji neprestano emitiraju stotine svjetionika u minuti. U svojim testovima s nekoliko pametnih uređaja, odašiljali su iPhone 10, šaljući više od 800 signala u minuti, dok Apple Watch 4 emitira gotovo 600 svjetionika svakih 60 sekundi.
"Ove [Bluetooth] aplikacije koriste kriptografsku anonimnost koja ograničava protivnikovu sposobnost da koristi ove svjetionike za uhođenje korisnika", istaknuli su istraživači. "Međutim, napadači mogu zaobići ove obrane uzimanjem otisaka jedinstvenih nesavršenosti fizičkog sloja u prijenosu određenih uređaja."
Istraživanje je vrijedno pažnje jer je pomoglo pokazati da Bluetooth signali imaju jasan otisak prsta koji se može pratiti.
Međutim, točan postupak za identifikaciju jedinstvenog signala uređaja zahtijeva nešto rada i nije uvijek zajamčeno da će raditi jer nemaju svi Bluetooth čipovi isti kapacitet i domet.
Potezanje konopa
"Na temelju istraživanja, čini se da ova tehnika neće biti korištena u stvarnom svijetu bez nekih iteracija kako bi se njezina upotreba pojednostavila i učinila stabilnijom, " Matt Psencik, direktor, stručnjak za sigurnost krajnjih točaka, u Taniumu, rekao je Lifewire putem e-pošte, nakon što je pregledao novine.
Psencik je ilustrirao svoj argument rekavši da je upravo upotrijebio aplikaciju BluetoothLE Scanner koja je pokupila 165 Bluetooth uređaja u njegovoj blizini dok je bio na trećem katu stambene zgrade. "Imajući ovo na umu, upotreba ove metode za praćenje nekoga kroz mjesta s puno ljudi bila bi bolji pothvat koji bi se bolje postigao s klasičnim vizualnim praćenjem linije vidljivosti", rekao je Psencik.
Primijetio je da, iako su istraživači identificirali grešku u Bluetoothu, njihov mehanizam za praćenje generirao bi puno podataka uz malo isplate.
Krueger se složio, rekavši da će rad istraživača, a ne eksploatacija za praćenje pojedinačnih ljudi, vjerojatno biti zanimljiv tvrtkama za posredovanje podataka koje pokušavaju masovno nadzirati ljude i prodavati te podatke ili pristup njima za oglašavanje svrhe.
"Iako trgovac na malo može vidjeti praćenje kupaca putem Bluetooth otiska prsta dok se kreću po svojoj trgovini kao bezopasno za kupce i korisno za poslovanje, posljedice nesputanog nadzora doista su zabrinjavajuće," smatra Krueger.
Objašnjavajući ozbiljnost situacije, Krueger je rekao da su ljudi prilično hendikepirani u izravnoj borbi protiv ove vrste praćenja, s obzirom na razinu sofisticiranosti koju koriste ove tehnike otiska prsta i sveprisutnost Bluetooth beaconinga u proizvodima koji su postali ključni za naše svakodnevni život.
Jedina opcija koju ljudi imaju jest potražiti proizvode i usluge s dokazivim iskustvom u davanju prioriteta privatnosti korisnika, od tvrtki koje su izrazile podršku zakonodavstvu za suzbijanje široko rasprostranjenog ciljanog praćenja ljudi, kao što je opisano u članku.
"Možda se čini da su to mali ili čak beznačajni koraci koje pojedinac treba poduzeti," priznaje Krueger, "ali ovo je problem kolektivne akcije i može se riješiti samo kroz kontinuirani, kumulativni tržišni i regulatorni pritisak."
