Bluetooth finns i nästan alla moderna prylar, varför en nyupptäckt brist i kommunikationsprotokollet bör tas på största allvar.
Som ZDNet först rapporterade, skisserade David Starobinski och Johannes Becker från Boston University i en forskningsartikel hur smartphones, bärbara datorer och bärbara enheter kan spåras genom ett utnyttjande av Bluetooth -teknik.
Enligt dokumentet finns det en brist i de ständigt föränderliga, randomiserade MAC -adresserna som är utformade för att hålla Bluetooth -enheter säkra från spårning. Denna säkerhetsmetod kan spela i en dålig skådespelares hand, så att de inte bara kan spåra en enhet utan också få information om dess identitet och användaraktivitet.
Kärnan i denna Bluetooth-brist är ett problem där identifiering av tokens och slumpmässiga MAC-adresser inte förändras i synkronisering, vilket gör att vad Boston Unversity-forskare kallar en "adressöverföringsalgoritm" för att kontinuerligt spåra en enhet med hjälp av en sekundär "pseudo- identitet."
"Adressöverföringsalgoritmen utnyttjar asynkron karaktär av adress- och nyttolaständring och använder oförändrade identifierande tokens i nyttolasten för att spåra en ny inkommande slumpmässig adress tillbaka till en känd enhet", står det i tidningen. "Därigenom neutraliserar adressöverföringsalgoritmen målet om anonymitet i sändningskanaler avsedda för frekvent adress randomisering."
MER: Ny sårbarhet i Windows 10 kan låta hackare få full åtkomst …
Kanske mest skrämmande är att denna algoritm inte gör någon dekryptering och helt bygger på offentlig, okrypterad annonstrafik, enligt tidningen. Också oroande är att utnyttjandet testades med specifikationen Bluetooth low-energy (BLE), som finns i den senaste Bluetooth 5-standarden.
Utnyttjandet fungerar förmodligen på Windows 10, iOS och macOS -enheter, som inkluderar iPhones, Surface -enheter och MacBooks. Android -enheter annonserar sin trafik på ett helt annat sätt (genom att söka efter närliggande reklam; det finns ingen aktiv, kontinuerlig spårning) och är immuna mot sårbarheten.
Forskare som upptäckte Bluetooth -felet listade flera regler som kan skydda drabbade enheter, vars kärnpunkt är att synkronisera eventuella ändringar i spårningsinformation med ändringar i enhetens MAC -adress. Att slå på och av Bluetooth på iOS- och macOS -enheter (förlåt Windows -användare, det här hjälper dig inte) är en tillfällig lösning, men det är upp till tillverkarna att driva ut en mer permanent lösning. Bluetooth-utnyttjandet avslöjades dock först för Microsoft och Apple i november 2022-2023-2022, vilket tyder på att det inte är hög prioritet för dessa företag.
"Eftersom Bluetooth-antagandet beräknas växa från 4,2 till 5,2 miljarder enheter mellan 2022-2023-2022 och 2022, med över en halv miljard bland dem bärbara och andra datafokuserade anslutna enheter, kommer spårresistenta metoder, särskilt på okrypterade kommunikationskanaler, att av största vikt ”, står det i tidningen.
Även om inga kända fall citerades, varnar forskare för att om BLE -sårbarheten förblir okontrollerad kan motståndare så småningom kombinera köptransaktioner, ansiktsigenkänning och annan känslig information med spårningsdata för att skapa en profil för en exponerad användare.
- Bästa antivirusprogram - Toppprogramvara för PC, Mac och Android