Bài học rút ra chính
- Các nhà nghiên cứu chứng minh rằng tín hiệu Bluetooth có thể được xác định duy nhất nhờ vào những điểm không hoàn hảo nhỏ trong chip.
- Tuy nhiên, quy trình này phù hợp hơn để theo dõi các nhóm người hơn là các cá nhân, đề xuất các chuyên gia.
- Họ cho rằng nó nên được sử dụng như một ví dụ khác để thúc đẩy các quy định nghiêm ngặt nhằm hạn chế việc theo dõi.
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng Bluetooth khác, có thể gây rủi ro cho quyền riêng tư của bạn nếu nó dễ dàng được vũ khí hóa.
Tại hội nghị Bảo mật và Quyền riêng tư của IEEE gần đây, các nhà nghiên cứu từ Đại học California, San Diego, đã trình bày những phát hiện của họ về việc chip Bluetooth có những khiếm khuyết phần cứng duy nhất có thể được lấy dấu vân tay. Về mặt lý thuyết, điều này cho phép những kẻ tấn công theo dõi người dùng thông qua các chip Bluetooth được gắn trong các thiết bị thông minh của họ, mặc dù bản thân các nhà nghiên cứu thừa nhận quá trình này đòi hỏi một lượng công việc đáng kể và một sự may mắn lành mạnh.
"Việc 'theo dõi' thiết bị của người dùng mà họ mô tả là một sự leo thang khác trong cuộc chạy đua vũ trang đang diễn ra giữa các nhà môi giới dữ liệu và các nhà sản xuất thiết bị quan tâm đến quyền riêng tư", Evan Krueger, Trưởng bộ phận Kỹ thuật của Token, nói với Lifewire qua email. "Kỹ thuật này khó có thể được sử dụng cho một cuộc tấn công có chủ đích, như rình rập hoặc bạo lực đối tác thân mật theo cách mà mọi người đã thấy Apple AirTags được sử dụng gần đây."
Pháp y Bluetooth
Các nhà nghiên cứu lập luận rằng gần đây, các thiết bị di động, bao gồm cả điện thoại thông minh và đồng hồ thông minh, đã tăng gấp đôi như các đèn hiệu theo dõi không dây, liên tục truyền tín hiệu cho các ứng dụng như theo dõi liên lạc hoặc tìm thiết bị bị mất.
Theo các nhà nghiên cứu, các thiết bị thông minh của chúng ta liên tục phát ra hàng trăm đèn hiệu mỗi phút. Trong các thử nghiệm với một số thiết bị thông minh, họ đã kiểm tra tốc độ iPhone 10, gửi hơn 800 tín hiệu mỗi phút, trong khi Apple Watch 4 phát ra gần 600 báo hiệu cứ sau 60 giây.
"Các ứng dụng [Bluetooth] này sử dụng tính năng ẩn danh mật mã để hạn chế khả năng của kẻ thù sử dụng các báo hiệu này để theo dõi người dùng", các nhà nghiên cứu lưu ý. "Tuy nhiên, những kẻ tấn công có thể vượt qua các biện pháp phòng thủ này bằng cách ghi lại các điểm không hoàn hảo của lớp vật lý duy nhất trong quá trình truyền của các thiết bị cụ thể."
Nghiên cứu này rất đáng chú ý vì nó đã giúp chứng minh rằng tín hiệu Bluetooth có một dấu vân tay riêng biệt và có thể theo dõi được.
Tuy nhiên, quy trình chính xác để xác định tín hiệu duy nhất của thiết bị cần một số công việc và không phải lúc nào cũng đảm bảo hoạt động vì không phải tất cả các chip Bluetooth đều có cùng công suất và phạm vi.
Kéo co
"Dựa trên nghiên cứu, kỹ thuật này dường như không được sử dụng trong thế giới thực nếu không có một số lần lặp lại để đơn giản hóa việc sử dụng và làm cho nó ổn định hơn", Matt Psencik, Giám đốc, Chuyên gia Bảo mật Điểm cuối, tại Tanium, đã nói với Lifewire qua email, sau khi xem qua bài báo.
Psencik đã minh họa lập luận của mình bằng cách nói rằng anh ấy vừa sử dụng một ứng dụng BluetoothLE Scanner, ứng dụng này đã nhặt được 165 thiết bị Bluetooth gần anh ấy khi ở trên tầng ba của một tòa nhà chung cư. Psencik cho biết: “Với suy nghĩ này, việc sử dụng phương pháp này để theo dõi ai đó qua những nơi đông đúc sẽ là một kỳ công được hoàn thành tốt hơn với tính năng theo dõi hình ảnh đường ngắm cổ điển”.
Anh ấy lưu ý rằng mặc dù các nhà nghiên cứu đã xác định được một lỗ hổng trong Bluetooth, nhưng cơ chế theo dõi của họ sẽ tạo ra rất nhiều dữ liệu với ít chi phí trả lại.
Krueger đồng ý, nói rằng thay vì khai thác để theo dõi từng người, công việc của các nhà nghiên cứu có thể sẽ thu hút sự quan tâm của các công ty môi giới dữ liệu, những người cố gắng khảo sát mọi người và bán dữ liệu đó hoặc truy cập vào nó để quảng cáo mục đích.
"Mặc dù một nhà bán lẻ có thể thấy việc theo dõi khách hàng qua dấu vân tay Bluetooth khi họ di chuyển xung quanh cửa hàng của họ là vô hại đối với khách hàng và có lợi cho doanh nghiệp, nhưng hậu quả của việc giám sát không được kiểm soát thực sự đáng lo ngại", Krueger tin tưởng.
Giải thích về mức độ nghiêm trọng của tình hình, Krueger cho biết mọi người khá khó khăn trong việc trực tiếp chống lại loại theo dõi này, do mức độ tinh vi được sử dụng bởi các kỹ thuật lấy dấu vân tay này và sự phổ biến của đèn hiệu Bluetooth trong các sản phẩm đã trở nên thiết yếu đối với cuộc sống hàng ngày.
Một lựa chọn mà mọi người có là tìm kiếm các sản phẩm và dịch vụ có hồ sơ theo dõi có thể chứng minh được về ưu tiên quyền riêng tư của người dùng, từ các công ty đã lên tiếng ủng hộ luật để hạn chế sự theo dõi có mục tiêu rộng rãi của mọi người, như được mô tả trong bài báo.
"Đó có thể là những bước nhỏ hoặc thậm chí là vụn vặt đối với một cá nhân", Krueger thừa nhận, "nhưng đây là một vấn đề hành động tập thể và nó chỉ có thể được giải quyết thông qua thị trường tích lũy, bền vững và áp lực pháp lý."
