Da asporto chiave
- I ricercatori dimostrano che i segnali Bluetooth possono essere identificati in modo univoco grazie a minuscole imperfezioni nei chip.
- Il processo, tuttavia, è più adatto per tracciare gruppi di persone piuttosto che individui, suggeriscono gli esperti.
- Suggeriscono che dovrebbe essere usato come un altro esempio per spingere per normative rigorose per frenare il tracciamento.
I ricercatori hanno scoperto un altro difetto Bluetooth, che potrebbe rappresentare un rischio per la tua privacy se solo fosse facile da usare come arma.
Alla recente conferenza IEEE sulla sicurezza e la privacy, i ricercatori dell'Università della California, San Diego, hanno presentato le loro scoperte sui chip Bluetooth che presentano imperfezioni hardware uniche che possono essere rilevate tramite impronte digitali. Ciò teoricamente consente agli aggressori di rintracciare gli utenti attraverso i chip Bluetooth incorporati nei loro gadget intelligenti, anche se i ricercatori stessi ammettono che il processo richiede una notevole quantità di lavoro e una buona dose di fortuna.
"Il 'tracciamento' dei dispositivi degli utenti che descrivono è un' altra escalation nella corsa agli armamenti in corso tra broker di dati e produttori di dispositivi attenti alla privacy", ha detto a Lifewire Evan Krueger, Head of Engineering di Token. "È improbabile che questa tecnica venga utilizzata per un attacco mirato, come lo stalking o la violenza del partner nel modo in cui le persone hanno visto di recente gli Apple AirTag utilizzati."
Forense Bluetooth
I ricercatori sostengono che ultimamente i dispositivi mobili, inclusi smartphone e smartwatch, si sono trasformati in segnali di localizzazione wireless, trasmettendo costantemente segnali per applicazioni come il tracciamento dei contatti o la ricerca di dispositivi smarriti.
Secondo i ricercatori, i nostri dispositivi intelligenti emettono costantemente centinaia di segnali luminosi al minuto. Nei loro test con diversi dispositivi intelligenti, hanno cronometrato l'iPhone 10, inviando oltre 800 segnali al minuto, mentre l'Apple Watch 4 ha emesso quasi 600 beacon ogni 60 secondi.
"Queste applicazioni [Bluetooth] utilizzano l'anonimato crittografico che limita la capacità di un avversario di utilizzare questi beacon per perseguitare un utente", hanno osservato i ricercatori. "Tuttavia, gli aggressori possono aggirare queste difese rilevando le imperfezioni uniche dello strato fisico nelle trasmissioni di dispositivi specifici."
La ricerca è degna di nota poiché ha contribuito a dimostrare che i segnali Bluetooth hanno un'impronta digitale distinta e tracciabile.
Tuttavia, il processo esatto per identificare il segnale univoco di un dispositivo richiede un po' di tempo e non è sempre garantito che funzioni poiché non tutti i chip Bluetooth hanno la stessa capacità e portata.
Tug of War
"Sulla base della ricerca, non sembra probabile che questa tecnica venga utilizzata nel mondo reale senza alcune iterazioni per semplificarne l'uso e renderlo più stabile, " Matt Psencik, Direttore, Specialista della sicurezza degli endpoint, presso Tanium, ha detto a Lifewire via e-mail, dopo aver sfogliato il giornale.
Psencik ha illustrato la sua argomentazione dicendo di aver appena utilizzato un'app BluetoothLE Scanner che ha rilevato 165 dispositivi Bluetooth vicino a lui mentre si trovava al terzo piano di un condominio. "Con questo in mente, utilizzare questo metodo per rintracciare qualcuno in luoghi affollati sarebbe un'impresa meglio realizzata con il classico tracciamento visivo in linea di vista", ha affermato Psencik.
Ha notato che mentre i ricercatori hanno identificato un difetto nel Bluetooth, il loro meccanismo di tracciamento genererebbe un sacco di dati con poco profitto.
Krueger ha concordato, dicendo che piuttosto che un exploit per rintracciare singole persone, il lavoro dei ricercatori sarà probabilmente di interesse per le società di broker di dati che tentano di sorvegliare le persone in massa e vendere quei dati, o accedervi, per la pubblicità scopi.
"Sebbene un rivenditore possa vedere il tracciamento dei clienti tramite impronte digitali Bluetooth mentre si spostano nel negozio come innocuo per i clienti e vantaggioso per l'azienda, le conseguenze di una sorveglianza illimitata sono davvero preoccupanti", credeva Krueger.
Spiegando la gravità della situazione, Krueger ha affermato che le persone sono abbastanza svantaggiate nel combattere direttamente questo tipo di tracciamento, dato il livello di sofisticatezza impiegato da queste tecniche di rilevamento delle impronte digitali e l'ubiquità del beaconing Bluetooth nei prodotti che sono diventati essenziali per il nostro vita quotidiana.
L'unica opzione che le persone hanno è cercare prodotti e servizi con una comprovata esperienza nel dare priorità alla privacy degli utenti, da aziende che hanno espresso sostegno alla legislazione per frenare il monitoraggio diffuso e mirato delle persone, come descritto nel documento.
"Quelli possono sembrare passi piccoli o addirittura irrilevanti da compiere per un individuo", ha riconosciuto Krueger, "ma questo è un problema di azione collettiva e può essere affrontato solo attraverso una pressione continua e cumulativa di mercato e normativa".