Para peneliti telah menemukan sebuah potensi sarana untuk profil dan melacak pengguna online menggunakan sebuah pendekatan baru yang menggabungkan perangkat pengidentifikasi dengan informasi biometrik.

Rincian berasal dari baru menerbitkan penelitian yang berjudul “Nowhere to Hide: Cross-modal Identitas Kebocoran antara Biometrik dan Perangkat” oleh sekelompok akademisi dari Universitas Liverpool, New York University, Universitas Cina Hong Kong, dan University at Buffalo SUNY.

“Studi-studi sebelumnya pada pencurian identitas hanya mempertimbangkan serangan gol untuk satu jenis identitas, baik untuk Id perangkat atau biometrik,” Chris Xiaoxuan Lu, Asisten Profesor di University of Liverpool, mengatakan kepada The Hacker News dalam sebuah wawancara email. “Bagian yang hilang, bagaimanapun, adalah untuk mengeksplorasi kelayakan mengorbankan dua jenis identitas secara bersamaan dan sangat memahami korelasi multi-modal IoT lingkungan.”

Para peneliti mempresentasikan temuan pada Konferensi Web 2020 yang diadakan di Taipei minggu lalu. Prototipe dan kode terkait dapat diakses di sini.

Senyawa Kebocoran Data Serangan

Identitas kebocoran mekanisme yang dibangun di atas ide yang diam-diam menguping dari individu-individu di cyber-ruang fisik selama periode waktu yang diperpanjang.

Singkatnya, ide adalah bahwa seorang aktor yang buruk dapat memanfaatkan keunikan individu’ informasi biometrik (wajah, suara, dll.) dan Wi-Fi alamat MAC dari smartphone dan perangkat IoT untuk secara otomatis mengidentifikasi orang-orang dengan gambar spasial-temporal korelasi antara dua set pengamatan.

“Penyerang dapat berupa insider seperti co-pekerja yang berbagi kantor yang sama dengan korban atau orang luar yang menggunakan laptop mereka untuk menguping acak korban di warung kopi,” Xiaoxuan Lu mengatakan. “Jadi meluncurkan serangan seperti itu tidak sulit, mengingat multi-modal perangkat IoT yang sangat kecil dan dapat menyamar dengan baik, seperti mata-mata kamera dengan Wi-Fi mengendus fungsi. Semua dalam semua, ada sedikit upaya penataan di sisi penyerang.”

Untuk me-mount serangan itu, para peneliti mengumpulkan menguping prototipe dibangun pada Raspberry Pi yang terdiri dari audio recorder, kamera 8MP, dan Wi-Fi sniffer yang dapat menangkap perangkat pengidentifikasi.

Data yang dikumpulkan dengan cara ini tidak hanya dipastikan bahwa ada sesi absensi kesamaan antara satu fisik biometrik dan/nya perangkat pribadi, tetapi mereka juga cukup unik untuk mengisolasi individu tertentu di antara beberapa orang yang berada di ruang yang sama.

Akurasi serangan, namun, dapat mengurangi dalam hal korban adalah tersembunyi di kerumunan dan saham yang sama atau sangat mirip sesi absensi pola dengan topik lain dalam — sesuatu yang sulit terjadi dan praktis, menurut para peneliti.

Mungkin Teknik Mitigasi

Tapi dengan miliaran IoT perangkat yang terhubung ke internet, para peneliti mengatakan bahwa senyawa efek seperti kebocoran data adalah ancaman nyata, dengan musuh yang mampu deanonymizing lebih dari 70% dari perangkat pengidentifikasi.

Obfuscating komunikasi nirkabel dan pemindaian untuk mikrofon tersembunyi atau kamera yang bisa membantu untuk mengurangi cross-modal serangan, meskipun mereka memperingatkan tidak ada balasan lagi.

“Hindari menghubungkan Wi-Fi untuk jaringan nirkabel publik seperti daun yang mendasari anda alamat MAC Wi-Fi terkena,” Xiaoxuan Lu mengatakan.

“Tidak memungkinkan multi-modal perangkat IoT (seperti bel cerdas atau asisten suara) untuk memantau anda 24/7, karena mereka mengirim kembali data ke pihak ketiga dengan tidak ada transparansi kepada anda, dan mereka dapat dengan mudah diretas dan dapat membahayakan ID anda dalam beberapa dimensi.”