Раскрыт новый способ деанонимизации в биометрических данных пользователей

Исследователи обнаружили потенциальные средства для профилирования и отслеживания онлайн-пользователей. Новый подход объединяет идентификаторы устройств с их биометрической информацией.

Подробности получены из недавно опубликованного исследования под названием «Негде скрыться: кросс-модальная утечка идентичности между биометрикой и устройствами». Исследование провели ученые из Университета Ливерпуля, Нью-Йоркского университета, Китайского университета Гонконга и Университета в Буффало SUNY.

В исследовании о краже данных изучили возможность одновременной компрометации двух типов идентичностей, чтобы понять их корреляцию в мультимодальных средах IoT.

Сложная атака утечки данных

Механизм утечки идентичности основан на идее тайного подслушивания людей в кибер-физических пространствах в течение длительного периода времени.

То есть злоумышленник может использовать уникальность биометрической информации отдельных лиц (лица, голоса и т. д.), MAC-адресов Wi-Fi смартфонов и IoT-устройств для автоматической идентификации людей путем построения пространственно-временной корреляции.

Например, злоумышленник может использовать свой ноутбук для прослушивания случайных жертв в кафе. Таким образом, запустить ​​атаку несложно, учитывая, что мультимодальные устройства IoT очень малы и их можно хорошо замаскировать, как шпионскую камеру с функцией прослушивания Wi-Fi.

Исследователи подтвердили, что существует сходство посещаемости сеанса между физической биометрикой человека и его / ее личным устройством. При этом они достаточно уникальны, чтобы изолировать конкретного человека среди людей, находящихся в одном и том же месте.

Правда, точность атаки может снизиться в случае, если жертва спрятана в толпе и разделяет ту же или очень похожую схему посещаемости сеанса с другим субъектом, что, по мнению исследователей, происходит редко из-за непрактичности.

Возможные методы смягчения

Но с миллиардами IoT-устройств, подключенных к Интернету, исследователи говорят, что данный метод представляет реальную угрозу. Поскольку злоумышленник способен деанонимизировать более 70% идентификаторов устройств.

«Запутывание» беспроводной связи и сканирование на наличие скрытых микрофонов или камер может помочь смягчить кросс-модальную атаку. Хотя пока что нет хороших контрмер. Исследователи прокомментировали:

«Избегайте подключения Wi-Fi к общедоступным беспроводным сетям, поскольку он оставляет доступным ваш MAC-адрес Wi-Fi. Не позволяйте мультимодальным устройствам IoT (таким как умный дверной звонок или голосовые помощники) контролировать вас круглосуточно, потому что они отправляют данные третьим лицам без какой-либо прозрачности для вас, и их можно легко взломать и поставить под угрозу ваш ID в нескольких измерениях.»