物聯網雲及物聯網安全服務公司 曲速智能 表示:近日,來自英國利物浦大學、紐約大學等地的研究人員發表了題為Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章,發現了一種新的利用設備ID和生物信息來對個人身份進行去匿名化的方法,最終可以對超過70%的設備id去匿名。
之前對身份竊取的研究只考慮了身份的單個類型,比如設備ID或是生物信息。沒有同時用這兩種身份類型,也沒有深刻理解多模物聯網環境中相關信息的關聯。
複合數據洩露攻擊
身份洩露機制是建立在長時間對網絡物理空間中的個人進行秘密竊聽的思想之上的。
設備ID去匿名
攻擊者可以利用個人的生物信息(面部、聲音等)和智能手機、IoT設備的WiFi MAC地址,通過構造這兩個集合的時空關聯來自動識別用戶。攻擊者可以是與受害者處於同一網絡內的用戶,也可以是在咖啡廳使用筆記本電腦來監聽隨機受害者的黑客。所以啟動這樣的攻擊成本是非常容易的,成本也是非常低的。
為了實現攻擊,研究人員基於樹莓派的監聽原型系統,該系統由一個錄像機、一個8MP攝像頭和一個可以獲取設備id的WiFi嗅探器。這種方式收集的數據不僅可以證明了在設備的物理生物信息和個人設備直接按存在會話參與相似性,還證明了足以在相同的空間內從一群人中隔離出特定的個人。
設備-生物信息關聯
研究人員稱,攻擊的準確性可以減少到一個受害者可以隱藏在一群人中,並分享相同或高度相似的會話參與模型。
可能的緩解技術
網絡中有數億的物聯網設備連接到互聯網,因此這種數據洩露是一種現實的威脅,研究人員估計攻擊者可以將超過70%的設備id去匿名。對無線通信進行混淆和掃描隱藏的麥克風或攝像頭可以幫助緩解這類跨模攻擊,但目前為止還沒有很好的應對措施。研究人員建議用戶不要連接公共WiFi網絡,因為這會在網絡中留下WiFi的MAC地址信息。
物聯網雲及物聯網安全服務公司 曲速智能 表示:不要讓多模IoT設備24*7的監控你的生活。因為這些設備可能會在沒有通知你的情況下將數據發送給第三方,之後如果數據洩露,就可能會洩露你的ID。
本文內容由 曲速智能 (WarpIoT.com) 物聯網安全服務公司整理編譯,轉載請註明。曲速智能是提供包括研發、銷售、服務於一體的技術提供商,為企業提供無縫銜接的物聯網與物聯網安全等相關服務。
