Негізгі ұсыныстар
- Зерттеушілер чиптердегі кішкентай кемшіліктердің арқасында Bluetooth сигналдарын бірегей түрде анықтауға болатынын көрсетті.
- Алайда бұл процесс жеке адамдарды емес, адамдар тобын қадағалау үшін жақсырақ, дейді сарапшылар.
- Олар оны бақылауды шектеу үшін қатаң ережелерді енгізу үшін тағы бір мысал ретінде пайдалануды ұсынады.
Зерттеушілер Bluetooth-тың тағы бір кемшілігін анықтады, ол оңай қаруланса ғана жеке өміріңізге қауіп төндіруі мүмкін.
Жақында өткен IEEE қауіпсіздік және құпиялылық конференциясында Сан-Диегодағы Калифорния университетінің зерттеушілері саусақ ізін алуға болатын бірегей аппараттық ақаулары бар Bluetooth чиптері туралы өз тұжырымдарын ұсынды. Бұл теориялық тұрғыдан шабуылдаушыларға өздерінің смарт гаджеттеріне енгізілген Bluetooth чиптері арқылы пайдаланушыларды бақылауға мүмкіндік береді, дегенмен зерттеушілердің өздері бұл процестің үлкен жұмыс көлемін және жақсы сәттілікті қажет ететінін мойындайды.
«Олар сипаттайтын пайдаланушы құрылғыларының «қадағалануы» деректер брокерлері мен құпиялылықты ойлайтын құрылғы өндірушілері арасындағы жалғасып жатқан қарулану жарысының тағы бір өршуі», - деді Эван Крюгер, Token инженерия бөлімінің басшысы Lifewire-ке электрондық пошта арқылы. "Бұл әдісті адамдардың жақында Apple AirTags пайдаланғанын көрген аңду немесе жақын серіктеске зорлық-зомбылық көрсету сияқты мақсатты шабуыл үшін пайдалануы екіталай."
Bluetooth сот сараптамасы
Зерттеушілер соңғы уақытта мобильді құрылғылар, соның ішінде смартфондар мен смарт сағаттар контактілерді іздеу немесе жоғалған құрылғыларды табу сияқты қолданбалар үшін сигналдарды үнемі жіберіп отыратын сымсыз бақылау маяктары ретінде екі есе көбейгенін айтады.
Зерттеушілердің пікірінше, біздің смарт құрылғыларымыз минутына жүздеген маяктарды үнемі жарқыратады. Бірнеше смарт құрылғылармен жүргізген сынақтарында олар iPhone 10 сағатын анықтап, минутына 800-ден астам сигнал жіберді, ал Apple Watch 4 әр 60 секунд сайын 600-ге жуық маяк шашады.
"Бұл [Bluetooth] қолданбалары криптографиялық анонимділікті пайдаланады, бұл қарсыластың пайдаланушыны бақылау үшін осы маяктарды пайдалану мүмкіндігін шектейді", - деп атап өтті зерттеушілер. "Алайда, шабуылдаушылар белгілі бір құрылғылардың берілісіндегі бірегей физикалық деңгей кемшіліктерін саусақ ізін алу арқылы бұл қорғанысты айналып өте алады."
Зерттеу назар аударарлық, өйткені ол Bluetooth сигналдарының анық және бақыланатын саусақ ізі бар екенін көрсетуге көмектесті.
Дегенмен, құрылғының бірегей сигналын анықтаудың нақты процесі біраз уақытты қажет етеді және барлық Bluetooth чиптерінің сыйымдылығы мен ауқымы бірдей болмағандықтан әрқашан жұмыс істейтініне кепілдік берілмейді.
Арқан тарту
"Зерттеуге сүйенсек, бұл әдісті пайдалануды жеңілдету және оны тұрақтырақ ету үшін кейбір итерацияларсыз нақты әлемде қолданылмайтын сияқты," Мэтт Псенчик, Директор, Endpoint Security маманы, Tanium, Lifewire-ке қағазды қарап шыққаннан кейін электрондық пошта арқылы айтты.
Псенчик көппәтерлі үйдің үшінші қабатында оның қасынан 165 Bluetooth құрылғысын алған BluetoothLE Scanner қолданбасын пайдаланғанын айтып, өз аргументін суреттеді. "Осыны ескере отырып, адам көп жиналатын орындар арқылы біреуді қадағалау үшін осы әдісті қолдану көзбен көрудің классикалық сызығын бақылау арқылы жақсы орындалатын ерлік болар еді", - деді Псенчик.
Ол зерттеушілер Bluetooth-дағы кемшілікті анықтағанымен, олардың бақылау механизмі өте аз төлеммен көптеген деректерді жасайтынын атап өтті.
Крюгер келісіп, зерттеушілердің жұмысы адамдарды жаппай бақылап, сол деректерді сатуға немесе жарнама үшін оған қол жеткізуге тырысатын деректер брокері компанияларын қызықтыруы мүмкін екенін айтты. мақсаттар.
"Бөлшек сатушы өз дүкенін аралап жүрген тұтынушыларды Bluetooth саусақ ізі арқылы бақылайтынын тұтынушылар үшін зиянсыз және бизнес үшін пайдалы деп санайтынымен, шектеусіз бақылаудың салдары шынымен де алаңдатарлық", - деп есептеді Крюгер.
Жағдайдың ауырлығын түсіндіре отырып, Крюгер бұл саусақ ізін алу әдістері қолданылған күрделілік деңгейін және біздің өнімдерде Bluetooth сигнализациясының кең таралғандығын ескере отырып, адамдардың бақылаудың мұндай түрімен тікелей күресуде айтарлықтай мүгедек екенін айтты. күнделікті өмір.
Адамдардың жалғыз мүмкіндігі - бұл қағазда сипатталғандай адамдарды жаппай бақылауды тоқтату үшін заңнаманы қолдайтын компаниялардан пайдаланушының жеке өміріне басымдық беру тәжірибесі бар өнімдер мен қызметтерді іздеу.
"Олар жеке адам үшін кішігірім немесе тіпті маңызды емес қадамдар сияқты сезінуі мүмкін", - деп мойындады Крюгер, "бірақ бұл ұжымдық әрекет мәселесі және оны тек тұрақты, жинақталған нарық пен реттеуші қысым арқылы шешуге болады."
