越來越多的連接物件使用藍牙低功耗(BLE) 協定來傳輸資料或連接:智慧型手機、健身手環、連網手錶、iBeacons、各種小工具…但越來越多的研究也表明,這些資料流遠遠安全並允許捕獲個人資料。
Context Information Security 的安全研究人員最近研究了這個問題並開發了一個安卓應用程式它允許您掃描周圍一百公尺範圍內的連接物體。更好:通常可以以獨特的方式識別這些物件。借助資料庫,我們可以建立一段時間內的活動報告。有時甚至可以知道有問題的設備類型。例如,一點點的相關性就足以偵測你的老闆、你的妻子、你的鄰居等的存在。
這怎麼可能?所有這些物件不斷發出包含 MAC 位址的封包,以表明它們的存在並邀請連線。為了避免監視,BLE 協定配備了一種稱為「LE Pricacy」的機制,該機制會隨機更改廣播的位址。不幸的是,研究人員指出,這個功能實現得很差:對於大多數測試的對象來說,地址仍然是固定的。 FitBit 手環就是這種情況。在其他情況下,情況更糟:例如,製造商 Nike 或 MI 的地址都以相同的方式開頭。方便識別設備。
製造商顯然很少出於安全考慮
還有一些沒有個人資料保護策略,並在考勤資料包中包含特定資訊:製造商名稱、設備型號、唯一識別碼等。範例:「Garmin Vivosmart#12345678」、「Galaxy Gear 1234」、「La montre de Trucmuche」等。顯然,這完全抵消了「LE 隱私」機制可以提供的優勢。因此,在這個層面上,這是一個經過深思熟慮的選擇。顯然,製造商更感興趣的是盡快發布他們的產品,而不是糾纏於安全問題。
語境研究只是眾多研究之一。 2014年,賽門鐵克已經提醒公眾連接配件缺乏安全性。一月份,義大利研究人員 Simone Margaritelli 發現了身分驗證過程中的一個漏洞耐吉燃料帶在某些條件下,允許任何人連接到它以吸收資料。在安全性方面,互聯對象製造商仍有很長的路要走。
另請閱讀:
研究:80% 的連網物件會危及您的隱私,於 29/07/2014
來源 :
部落格筆記來自情境
