fitbit和其他蓝牙设备如何让我们容易被跟踪

波士顿大学的澳门威尼斯人注册网站研究人员发现,一种第三方算法可以追踪某些蓝牙设备的位置

作者:Sarah Wells (COM ' 18

2018年,全球向消费者交付了近37亿台支持蓝牙的新设备。从手机和扬声器到恒温器和冰箱,包括“可穿戴设备”在内的家用电器和个人设备与Wi-Fi的连接速度比以往任何时候都要快,创造了所谓的物联网(IoT)。理论上,通过物联网连接设备可以让用户无缝地自动化或控制数字任务,但波士顿大学的一项新澳门威尼斯人注册网站研究表明,这些支持蓝牙的设备可能会向第三方观察者广播你的位置和习惯。

大卫·斯塔宾斯基教授(SE, ECE)和一组澳门威尼斯人注册网站研究人员发现了几个备受瞩目的蓝牙设备的一个漏洞,包括流行的健身追踪Fitbit手表,它可以让第三方从设备中获取敏感信息,比如你的位置和活动。

  • 跳转到:现实世界的影响

“我们澳门威尼斯人注册网站研究了不同的物联网协议,试图找出这些产品存在的隐私问题,”波士顿大学澳门威尼斯人注册网站研究生澳门威尼斯人注册网站研究员约翰内斯·贝克尔(Johannes Becker)说。“基本上现在每个人都以某种方式携带着蓝牙设备,形状或形式,这使得它非常重要。”

斯塔宾斯基说,允许设备“认证”或正确识别其用户的功能,例如:例如,保存的配对设备信息或指纹密码,可以被第三方利用来追踪用户。

斯塔宾斯基说:“我们正在寻找不同的方法来验证人们的身份。”“其中一个想法是,你携带所有这些设备,它们有特定的行为特征,(所以)也许我们可以使用它们。这很有趣,因为这是一种权衡。一方面,您可以进行身份验证,因为您拥有这些设备的唯一签名。但另一方面,你也有同样的功能可能被第三方用来跟踪你的问题。所以,这是一把双刃剑。”

澳门威尼斯人注册网站研究人员表示,信息泄露源于不同蓝牙设备之间建立连接的方式。

在一对蓝牙设备开始传输信息之前,它们必须首先确定哪个设备将在连接中起中心作用,哪个设备将起外围作用。例如,如果你想把一副蓝牙耳机连接到你的iPhone上,iPhone将扮演中心设备的角色,而耳机将成为外围设备,贝克尔说。一旦建立了对的层次结构,中心设备就开始扫描外围设备发送的信号,这些信号表明它可以进行连接。这些信号包含一个唯一的地址(类似于计算机的IP地址)和一个包含连接数据的有效载荷。

大多数设备产生随机地址,自动定期重新配置,而不是保持一个永久地址,试图提高隐私。它的设计目的是让恶意的观察者无法找到给定设备的位置,但斯塔宾斯基的团队表示,他们发现了这个过程中的一个疏忽,即使设备的地址发生了变化,也能被追踪到。

贝克尔说:“对旁观者来说,(有效载荷数据)可能只是一个数字,没什么大不了的。”“但我们说,‘让我们用这些随机数据……让我们假装它是(设备的)唯一标识符。’然后我们发现,这个(标识符)并没有随着地址同步变化。”

由于有效负载信息的更新速率与地址信息的更新速率不同,因此蓝牙设备之间的通信光点描绘了一个可识别的模式。在发现了这个漏洞之后,澳门威尼斯人注册网站研究人员决定测试一下第三方能在多大程度上利用它来跟踪个人设备。

他们修改了一个已经存在的开源“嗅探器”算法(因其嗅探和跟踪蓝牙连接的能力而被恰当地命名),并发现,对Android用户来说幸运的是,这些设备没有可识别的通信信号,这将使它们容易被跟踪。相比之下,Windows 10和iOS可能需要担心一些事情,因为许多这些设备确实存在通信信号,使它们可以被追踪。

他们还发现,像fitbit这样的可穿戴设备和智能笔根本不会显示任何地址变化或随机化,这使得它们即使没有使用嗅探算法也极易被跟踪。

“最让我惊讶的是发现了Fitbit活动追踪器的一个漏洞,”参与这项澳门威尼斯人注册网站研究的资深澳门威尼斯人注册网站研究员大卫·李(David Li, ENG)说。重新启动设备或耗尽电池不会改变其访问地址。这完全出乎意料。如果Fitbit的访问地址从未改变,那么攻击者就有可能追踪到Fitbit的所有者。”

虽然这个安全漏洞不会牺牲个人用户数据,但澳门威尼斯人注册网站研究人员表示,黑客可以利用它创建一个计算机网络——被称为“僵尸网络”——在更远的距离上跟踪单个设备,或者将跟踪信息与来自Wi-Fi可访问的物联网设备的更多个人数据结合起来,以建立一个更详细的用户图像。澳门威尼斯人注册网站研究人员还强调,没有必要入侵黑客来获取这些泄露的蓝牙信息。由于地址和有效载荷信息以纯文本形式传输(即未加密),因此它们的算法可以不可见地监听公开传输的信息。

尽管如此,作者指出,解决这个特殊的安全漏洞很简单,只要关闭和重新打开设备的蓝牙连接就可以了,至少在Windows 10和iOS设备上是这样。澳门威尼斯人注册网站研究人员表示,对于像Fitbit这样的智能可穿戴设备或像智能笔这样的附属设备,用户对他们发出的信号无能为力。

不过,对这个消息持保留态度。澳门威尼斯人注册网站研究人员表示,他们目前还不太担心蓝牙设备的安全性。

贝克尔说:“有很多方法可以追踪人们,不管有没有蓝牙。”“意识到自己发出的信号总是好的,尤其是在物联网时代。我对那些不能控制(蓝牙)的设备更持怀疑态度,比如智能手表,你可以假设它们一直在广播一些东西。

“但是,我并没有从根本上改变我使用设备的方式,”他补充道。

  • 工作对现实世界的影响

    苹果和谷歌利用Starobinski的发现开发了他们的COVID-19曝光通知服务。在一份解释该技术的联合公司文件中,斯塔宾斯基的网络安全发现得到了明确的说明。

相关文章:

  1. 你的蓝牙对话可能没有你想象的那么私密
  2. 新纺织更智能,更坚固的健身跟踪技术
  3. 医疗设备
  4. 机器学习制造:利用人工智能设计下一代半导体器件

分享:

查看所有帖子