ในกรณีส่วนใหญ่ กลไกความปลอดภัยที่นำเสนอโดยโปรโตคอล Bluetooth Low Energy ไม่ได้รับการติดตั้งอย่างดี หรือไม่เลย
วัตถุที่เชื่อมต่อกันมากขึ้นเรื่อยๆ ใช้โปรโตคอล Bluetooth Low Energy (BLE) เพื่อส่งข้อมูลหรือเชื่อมต่อ: สมาร์ทโฟน สร้อยข้อมือสำหรับออกกำลังกาย นาฬิกาที่เชื่อมต่อ iBeacons อุปกรณ์ทุกชนิด... แต่การศึกษาจำนวนมากขึ้นเรื่อยๆ ยังแสดงให้เห็นว่ากระแสข้อมูลเหล่านี้อยู่ไกล จากที่ปลอดภัยและอนุญาตให้บันทึกข้อมูลส่วนบุคคลได้
นักวิจัยด้านความปลอดภัยที่ Context Information Security เพิ่งพิจารณาปัญหานี้และพัฒนาแอพพลิเคชั่น Androidซึ่งช่วยให้คุณสแกนวัตถุที่เชื่อมต่อได้ไกลถึง 100 เมตรรอบตัวคุณ ดีกว่า: มักจะเป็นไปได้ที่จะระบุวัตถุเหล่านี้ด้วยวิธีที่ไม่เหมือนใคร ด้วยฐานข้อมูล เราจึงสามารถสร้างรายงานกิจกรรมเมื่อเวลาผ่านไปได้ บางครั้งอาจเป็นไปได้ที่จะทราบว่าอุปกรณ์ประเภทใดที่เป็นปัญหา ความสัมพันธ์เพียงเล็กน้อยก็เพียงพอที่จะตรวจจับการมีอยู่ของเจ้านาย ภรรยา เพื่อนบ้าน ฯลฯ
สิ่งนี้เป็นไปได้อย่างไร? ออบเจ็กต์ทั้งหมดเหล่านี้ปล่อยแพ็กเก็ตที่รวมที่อยู่ MAC อยู่ตลอดเวลาเพื่อส่งสัญญาณการมีอยู่และเชิญชวนให้เชื่อมต่อ เพื่อหลีกเลี่ยงการเฝ้าระวัง โปรโตคอล BLE ได้รับการติดตั้งกลไกที่เรียกว่า "LE Pricyy" ซึ่งจะสุ่มเปลี่ยนที่อยู่ที่ออกอากาศ น่าเสียดายที่นักวิจัยตั้งข้อสังเกตว่าฟังก์ชันนี้มีการใช้งานไม่ดี: สำหรับวัตถุส่วนใหญ่ที่ทดสอบ ที่อยู่ยังคงคงที่ นี่เป็นตัวอย่างกรณีของสายรัดข้อมือ FitBit ในกรณีอื่นที่แย่กว่านั้น: ที่อยู่ของผู้ผลิต Nike หรือ MI ทั้งหมดเริ่มต้นในลักษณะเดียวกัน สะดวกสำหรับการระบุอุปกรณ์
ผู้ผลิตมีแรงจูงใจเพียงเล็กน้อยจากการรักษาความปลอดภัย
ยังมีอีกหลายรายที่ไม่มีกลยุทธ์การปกป้องข้อมูลส่วนบุคคล และรวมข้อมูลเฉพาะไว้ในแพ็กเก็ตการเข้างาน เช่น ชื่อของผู้ผลิต รุ่นอุปกรณ์ ตัวระบุที่ไม่ซ้ำกัน ฯลฯ ตัวอย่าง: “Garmin Vivosmart#12345678”, “Galaxy Gear 1234”, “La montre de Trucmuche” ฯลฯ ซึ่งเห็นได้ชัดว่าเป็นการยกเลิกข้อได้เปรียบที่กลไก "LE Privacy" สามารถให้ได้โดยสิ้นเชิง ในระดับนี้จึงถือเป็นการเลือกโดยเจตนา เห็นได้ชัดว่าผู้ผลิตสนใจที่จะปล่อยผลิตภัณฑ์ของตนโดยเร็วที่สุดมากกว่าการจมอยู่กับปัญหาด้านความปลอดภัย
การศึกษาบริบทเป็นเพียงหนึ่งในหลายๆ การศึกษา ในปี 2557ไซแมนเทคได้แจ้งเตือนประชาชนถึงการขาดความปลอดภัยของอุปกรณ์เสริมที่เชื่อมต่อแล้ว ในเดือนมกราคม นักวิจัยชาวอิตาลี Simone Margaritelli ค้นพบช่องโหว่ในกระบวนการตรวจสอบความถูกต้องของสายเชื้อเพลิง Nikeอนุญาตให้ใครก็ตามเชื่อมต่อกับข้อมูลกาลักน้ำได้ภายใต้เงื่อนไขบางประการ ในแง่ของความปลอดภัย ผู้ผลิตวัตถุที่เชื่อมต่อยังคงมีหนทางไป
อ่านเพิ่มเติม:
การศึกษา: 80% ของวัตถุที่เชื่อมต่อเป็นอันตรายต่อความเป็นส่วนตัวของคุณ, วันที่ 29/07/2557
แหล่งที่มา :
บันทึกบล็อกจากบริบท
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
