Simán nyomon lehet követni bárkit a Bluetooth segítségével. Egy oslói egyetemista kimérte a probléma nagyságát.

Kiderült, hogy komoly biztonsági kockázattal jár, ha valaki Bluetooth fülessel mászkál az utcán. Bjorn Hegnes norvég egyetemista jött rá, hogy több népszerű fülhallgató-modellben nem implementálták a MAC-cím randomizálását, így viselője az eszközön keresztül nyomon követhető. (Valahányszor egy IoT-eszköz csatlakozik egy rendszerhez, kaphat egy véletlenszerű MAC-címet, ami elrejti az eszköz valódi MAC-címét.) A diák a vizsgálatához (ami egyébként egy projektfeladat volt az első évében) 1,7 millió Buetooth-üzenetet elemzett a norvég közszolgálati műsorszolgáltató, az NKR segítségével, számolt be a The Register.

Azért lehetett ennyi adatot összegyűjteni, mert a fülesek nem a vártnak megfelelően viselkedtek. Alapértelmezés szerint ugyanis a Bluetooth-eszközök általában a MAC-cím randomizálásával elfedik valós indentitásukat. Ám az egyetemista kutatása során kiderült: az általa vizsgált típusok egyike sem hajtotta végre ezt a biztonságjavító műveletet.

Enélkül viszont ismételt pingeléssel egyszerűen meg lehetett találni, hogy pontosan hol is van az adott eszköz (és értelemszerűen a viselője). Hedges egyébként csupán annyit csinált, hogy bringázott a városban 12 nap alatt mintegy 300 km-t egy olyan Bluetooth-vevővel, ami 100 méteres sugarú körben vette a jeleket. Több mint kilencezer egyedi Bluetooth-adót fedezett fel, köztük 129 fejhallgatót is, melyeknek a jeleit aztán több mint 24 órán keresztül rögzítette is.

Az NRK beszámolójában térképen is ábrázolta, mennyire volt pontos a nyomkövetés. Az egyik megfigyelt fejhallgató tulajdonosát be is azonosították az NKR újságírói, aki azt mondta, meg sem fordult a fejében, hogy ennyire egyszerű nyomon követni, merre jár.

A biztonsági szakértők hüledeztek egy sort

Az ESET biztonsági szakértője, Jake Moore a magánélet védelme szempontjából különösen aggasztónak nevezte az eredményt. Ráadásul ezek az eszközök jellemzően rövid ideig kapnak biztonsági támogatást, így ha változna is a gyártók hozzáállása, a régi eszközök még sokáig jelenthetnek potenciális veszélyt. Persze ehhez a felhasználók is hozzáteszik a magukét: kinek jutna eszébe egy fülhallgatót frissítgetni? Egy alkalmazásbiztonság szakértő pedig a szivárgó adatok központi gyűjtésének veszélyeire hívta fel a figyelmet. De szerinte az is nagy probléma, hogy egy bántalmazó így megfigyelheti az áldozatát.

Pedig van eszköz a kivédésére. A MAC-címek randomizálása például annak az első eredménye, hogy 2014-ben az Internet Engineering Taskforce (IETF) meghirdette: szigorítja protokolljait, hogy megakadályozza a Snowden által feltárt, triviális megfigyelési lehetőségeket.

Az EU és a britek is próbálják a szabályozást abba az irányba tolni, hogy javuljon az IoT-eszközök biztonsága, az eddigi szigorítások eddig az alapértelmezett rendszergazdai jelszóval rendelkező interaktív eszközökkel foglalkoztak. Egy Bluetooth fülesről ezzel szemben sokszor még az sem jut el a tudatunkig, hogy IoT-eszközt használunk, pedig egyre nyilvánvalóbbak a biztonsági kockázatai.

Biztonság

A MIT-en kitalálták, hogyan tanulhatja meg az MI az állatok nyelvét

Egyelőre nem lesz a mesterséges intelligenciából Dr. Dolittle, de a kísérletek közelebb vihetnek bennünket a természet mélyebb megértéséhez.
 
Hirdetés

A VR szemüveg nem csak a szórakoztatóipart forradalmasítja

A virtuális valóság világa folyamatosan fejlődik. Az új technológiák és a fejlesztések segítségével a felhasználók eddig soha nem tapasztalt módon merülhetnek el a digitális élményekben. Ebben a cikkben bemutatjuk a VR szemüvegek típusait, és azt is végigvesszük, hogy milyen áttöréseket hozott a virtuális valóság az élet különböző területein.

Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.