Bluetooth, vulnerabilità rende possibile il tracking dell'utente anche con MAC casuale

18 Luglio 2019 40

È stata scovata una vulnerabilità nel protocollo Bluetooth che potrebbe permettere a terze parti non autorizzate di tracciare i movimenti di un utente. Il problema risiede nelle fasi iniziali della procedura di pairing tra due dispositivi: uno dei primi step è stabilire quale dei due è l'host e quale ha il ruolo di periferica. Per esempio, quando uno smartphone si accoppia a un fitness tracker, il primo è l'host e il secondo la periferica. A questo punto, il dispositivo host si mette alla ricerca di un segnale proveniente dalla periferica che indica di essere pronta per la connessione.

I dati inviati nel segnale possono essere divisi in due gruppi: uno include tutte le informazioni necessarie alla connessione, l'altro corrisponde a un indirizzo fisico univoco (il MAC Address) del dispositivo periferico che permette all'host di identificarlo; nella maggior parte dei casi, questo indirizzo viene cambiato casualmente a intervalli di tempo regolari, proprio per proteggere la privacy dell'utente.

Il problema è che i due gruppi di dati non vengono aggiornati in contemporanea; quindi può capitare che, anche se l'indirizzo fisico viene modificato, il resto rimane uguale. I ricercatori chiamano questo fenomeno "il blip", e se avete visto Spider-Man: Far From Home coglierete l'analogia terminologica. Sapendo questo, un algoritmo di intercettazione potrebbe tracciare entrambi i gruppi di dati in contemporanea, avendo quindi più margine per profilare l'utente.

Alcuni device, come gli indossabili Fitbit, non randomizzano nemmeno l'indirizzo fisico, e quindi sono estremamente facili da tracciare

È piuttosto chiaro che il grado di resistenza al tracciamento di una connessione Bluetooth dipende quindi da diversi fattori, in particolare da come il protocollo Bluetooth sia implementato per il dispositivo host e per quello periferico. Sono emerse le seguenti informazioni utili da tenere a mente:

  • I dispositivi basati su Android non producono "blip", quindi sono più resistenti al tracking. Windows 10 e iOS sì.
  • Alcuni dispositivi periferici non hanno la randomizzazione dell'indirizzo fisico, e quindi sono particolarmente vulnerabili al tracking. Rientrano in questa categoria gli indossabili prodotti da Fitbit.

La vulnerabilità di per sé non corrisponde a una fuga di dati, ma potrebbe essere piuttosto pericolosa in caso di attacchi ben organizzati, per esempio se un hacker ha accesso a una vasta botnet di sistemi. Fortunatamente per il "blip" c'è una contromisura semplice, ma efficace solo per un breve periodo di tempo: basta semplicemente disattivare e riattivare la radio Bluetooth per resettarlo. Il consiglio dei ricercatori è farlo con frequenza periodica


40

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
vince

Non vanno a scatti come cellulari da 100€ na non sono fluidi al 100% durante l'utilizzo.

Quando passi da un'app all'altra, quando apri pagine pesanti da browser o app pesanti (es. facebook) , quando deve venir su la tastiera per scrivere qualcosa, etc etc

Prendi gli smartphone nella stessa fascia di prezzo dei OnePlus e non sono fluidi come i OnePlus specie con le nuove memorie ufs3

Granddad

Spiegami il discorso "fluidità" sono curioso, vorresti dire che altri dispositivi vanno a scatti quando vengono utilizzati?

vince
vince

assolutamente no.
Ma è innegabile la fluidità ad esempio dei OnePlus.

Granddad
Granddad

Sono per te, non per me, so che i grippati Android adorano queste cose.

vince

ok allora perché dici che gli iPhone sono avanti citando il punteggio su geekbench ?

hai personalità multiple?Secondo me spendi per apparire, lì è un altro discorso, hai ragione iPhone domina.

vince

eh ma lavori o vivi con mamma e papà?
rappresentanti di qualsiasi cosa hanno tablet o smartphone per fare gli ordini, operai su catena di montaggio FCA e non solo, operatori/tecnici sky/enel/fastweb/etc hanno tutti lo smartphone per lavorare, nei locali hanno ormai lo smartphone per prendere gli ordini, totem in giro per negozi/musei hanno android o windows dietro

Ma dove vivi?

Granddad

No, io spendo perché mi piace un determinato prodotto, non mi faccio le s...e mentali sugli "geekbench, non sono questi che determinano la qualità di un prodotto.

Granddad

Aziende usano Android? quali aziende?

vince

Tra l'altro gli ultimi smartphone sono li come prestazioni..ma costano la metà....

Vale spendere il doppio per avere le stesse prestazioni? https://uploads.disquscdn.c...

vince

ah bello un articolo di 2 anni fa.

La mia replica è: che te ne fai di tutta la potenza se non puoi usare lo smartphone come ti pare? Se non hai libertà di poter installare app e nemmeno di crearle per sfruttare al 100% l'hw sottostante?

Prova a vedere in ambito industriale quante aziende usano Android proprio perché puoi farci quello che ti pare, abbinato magari agli smartwatch per un controllo ottimale dell'esecuzione del lavoro.

Jezuuz

Anche!

Frankbel
Granddad

Adesso e tutto "Agenzia delle Entrate" ma perché ci odiate tanto?

Ikaro

Vabbè se un tr0ll dai...

Michele Cianci

Se lavori da Equitalia poteva essere chiunque a seguirti... Occhio!!! XD

sagitt

Poveretto

sagitt

Può essere

Granddad

https:// gizblog .it/2017/10/geekbench-android-vs-apple/

Jezuuz

Chapeau

Granddad

Vero, credimi.

Granddad

Sono educato.

vince
Jezuuz
Granddad

DISQUS oggi e una cosa allucinante.

Granddad

Pazienza, me frega niente.

Jezuuz
Jezuuz
Granddad
~benzo

Tu si che hai capito tutto

V-man

Ho rotto il terzo charge passerò a garmin...

BONS

Ma per quanto riguarda iOS, che con la versione 13 si può scegliere se un app di terze parti può accedere al bt o meno, si fa riferimento a questo? Mi sembra di ricordare che Federighi disse: “abbiamo scoperto che è possibile tracciare le persone tramite il bt quindi abbiamo implementato questa funzione.” C’entra qualcosa?

era equitalia

Granddad
Granddad
fabbro

il bug è relativo ai dispositivi BLE, come al solito la fonte la leggiamo domani!
questo tipo di baco è presente sin dal BT 2.0 ma data la bassa diffusione dei dispositivi di tracking e iot non aveva preoccupato nessuno

Vabbè frega cazi, uso fitbit con Android quindi sto a posto.

Turk

Correggiamo il titolo, grazie.

vince
Windows

Recensione MSI Creator 17 con display MINI-LED da 1000 nit!

Windows

Recensione LG Gram 17 2020, rinnovato ma sempre unico nel suo genere!

Portatili

Migliori Notebook, Portatili e Ultrabook | Top 5 tra 600 e 1200 euro | Agosto 2020

Tecnologia

Curiosità Hi-Tech: come funziona un razzo aerospaziale