Forskare har upptäckt ett potentiellt sätt att porträttera och spåra onlineanvändare med en ny metod som kombinerar enhetsidentifierare med deras biometriska information alltså att anonymisera enhets-ID till användarnas biometri.
Detaljerna kommer från en nyligen publicerad forskning med titeln “Nowhere to hide: Cross-modal Identity Leakage between Biometrics and Devices” av en grupp akademiker från University of Liverpool, New York University, det kinesiska universitetet i Hong Kong och University i Buffalo SUNY.
“Tidigare studier om identitetsstöld betraktar enbart attackmålet för en specifik typ av identitet, antingen för enhets-ID eller biometri,” uppgav Chris Xiaoxuan Lu, biträdande professor vid University of Liverpool, till The Hacker News i en e-postintervju. “Det som saknas är dock att undersöka genomförbarheten av att kompromissa med de två identitetstyperna samtidigt och djupt förstå deras korrelation i multimodala IoT-miljöer.”
Forskarna presenterade resultaten på webbkonferensen 2020 i Taipei förra veckan. Prototypen och den tillhörande koden kan nås här.
En sammansatt dataläckageattack
Mekanismen för läckage av identitet bygger på idén om smygavlyssning av individer i cyber-fysiska utrymmen under längre perioder.
I korthet är tanken att en dålig aktör kan utnyttja det unika med individernas biometriska information (ansikten, röster etc.) och Wi-Fi MAC-adresser för smartphones och IoT-enheter för att automatiskt identifiera människor genom att rita en rumslig-temporär korrelation mellan de två observationerna.
“Angriparen kan vara antingen en insider som exempelvis en medarbetare som delar samma kontor med offret eller en utomstående som använder sina bärbara datorer för att avlyssna slumpmässiga offer på ett kafé,” uttalar sig Xiaoxuan Lu. “Så att lansera en sådan attack är inte svårt, med tanke på att multimodala IoT-enheter är väldigt små och kan förklädas bra, som en spionkamera med Wi-Fi-sniffunktion. Sammantaget finns det lite inställningsinsatser från angriparens sida.”
För att organisera attacken monterade forskarna en avlyssnande prototyp byggd på en Raspberry Pi som bestod av en ljudinspelare, en 8MP kamera och en Wi-Fi-sniffer som kunde fånga enhetsidentifierare.
Uppgifterna som samlades genom detta konstaterade inte bara att det fanns en likhet i sessionernas närvaro mellan ens fysiska biometri och hans/hennes personliga enhet, utan de är också tillräckligt unika för att isolera en specifik individ bland flera personer på samma plats
Möjliga mildringstekniker
Med miljarder IoT-enheter anslutna till internet, säger forskarna att den sammantagna effekten av ett sådant dataläckage resulterar i ett verkligt hot, där motståndaren kan deanonymisera över 70% av enhetsidentifierarna.
Att dölja trådlös kommunikation och skanna efter dolda mikrofoner eller kameror kan hjälpa till att mildra den tvärmodala attacken, även om de varnar för att det inte finns någon bra motåtgärd än.
“Undvik att ansluta Wi-Fi till offentliga trådlösa nätverk eftersom det lämnar din underliggande Wi-Fi MAC-adress exponerad,” uppgav Xiaoxuan Lu.
“Låt inte multimodala IoT-enheter (som smart dörrklocka eller röstassistenter) övervaka dig dygnet runt, eftersom de skickar data tillbaka till tredje part utan öppenhet för dig, och de kan enkelt hackas och kan äventyra din ID i flera dimensioner. ”
Secure Your Organization’s Mind with Securemind.se