研究人員發現了一種潛在的手段,可以使用一種新穎的方法將裝置識別符號與其生物特徵資訊結合起來,對線上使用者進行描述和跟蹤。
細節來自利物浦大學,紐約大學,香港中文大學和布法羅大學的一組學者最新發表的題為“無處躲藏:生物識別技術與裝置之間的跨模式身份洩漏”的研究。
利物浦大學助理教授Chris Xiaoxuan Lu在接受電子郵件採訪時對《駭客新聞》說:“關於身份盜用的先前研究僅考慮針對一種型別的身份(針對裝置ID或生物識別)的攻擊目標,” “但是,缺少的部分是探索同時破壞兩種型別的身份的可行性,並深入瞭解它們在多模式物聯網環境中的相關性。”
研究人員在上週於臺北舉行的2020年網路會議上介紹了這些發現。原型和相關程式碼可在此處訪問:
https://github.com/zjzsliyang/CrossLeak
複合資料洩漏攻擊
身份洩漏機制建立在長時間對網路物理空間中的個人進行秘密竊聽的思想之上。
簡而言之,想法是壞演員可以利用個人生物特徵資訊(面部,聲音等)的唯一性以及智慧手機和物聯網裝置的Wi-Fi MAC地址,透過繪製時空關聯來自動識別人在兩組觀察值之間。
陸小軒說:“攻擊者既可以是內部人員,例如可以與受害者共享同一辦公室的同事,也可以是外部人員使用膝上型電腦竊聽咖啡店中的隨機受害者。” “因此,考慮到多模式物聯網裝置非常小並且可以很好地偽裝,例如具有Wi-Fi嗅探功能的間諜相機,發動此類攻擊並不難。總而言之,在裝置方面幾乎無需進行任何設定攻擊者。”
為了發動攻擊,研究人員組裝了一個基於Raspberry Pi的竊聽原型,該原型由一個錄音機,一個8MP攝像頭和一個可以捕獲裝置識別符號的Wi-Fi嗅探器組成。
以這種方式收集的資料不僅確定了一個人的身體生物特徵與其個人裝置之間存在會話出席相似性,而且它們的獨特性足以將一個特定的個人隔離在同一空間中的幾個人中。
但是,如果受害者被隱藏在人群中,並且與另一個受試者共享相同或高度相似的出勤模式,那麼攻擊的準確性就會降低,這是很難做到的,而且不切實際。
可能的緩解方法
但是,隨著數十億物聯網裝置連線到網際網路,研究人員說,這種資料洩漏的複合效應是一個真正的威脅,對手能夠對超過70%的裝置識別符號進行匿名處理。
混淆無線通訊並掃描隱藏的麥克風或攝像機可以幫助減輕跨模式攻擊,儘管他們警告說尚無好的對策。
陸小軒說:“避免將Wi-Fi連線到公共無線網路,因為這樣會使您的基礎Wi-Fi MAC地址暴露在外。”
“不允許多模式IoT裝置(例如智慧門鈴或語音助手)全天候監控您,因為它們會不透明地將資料傳送回第三方,並且容易被駭客入侵併危及您的安全。多個維度的ID。”
共建網路安全命運共同體