Исследователи из Бостонского университета обнаружили пробел в стандарте Bluetooth, который позволяет собирать данные о местоположении, что позволяет отслеживать пользователей устройств iOS, компьютеров с Windows 10, владельцев популярных спортивных групп и часов Fitbit.
Недавно в сети появилась статья об умном выпрямителе для волос, который оказался очень уязвимым для внешних воздействий. Его Bluetooth-соединение никоим образом не было защищено, и достаточно взять простой скрипт для получения контроля - и это может привести к пожару или ожогам для пользователей. Сегодня же мы получаем дополнительную информацию об угрозах, которым подвергаются устройства, основанные на этом стандарте беспроводной связи.
Уязвимость, обнаруженная сотрудниками Бостонского университета, использует процессы, происходящие при взаимном обнаружении двух устройств Bluetooth. Примером этого является комбинация беспроводных наушников с iPhone, что приводит к тому, что время от времени они посылают сигналы, позволяющие идентифицировать их и бесперебойно работать. Новые решения, основанные на технологии Bluetooth Low Energy (BLE), время от времени будут менять свои адреса, что должно повысить безопасность. Однако, как выясняется, эта технология не обеспечивает 100% эффективности в обеспечении безопасности. Созданный алгоритм позволяет собирать данные о самих устройствах на основе MAC-адресов и специальных идентификационных токенов, присутствующих при обмене соединением.
Действительно, эта уязвимость не позволяет получать конфиденциальные личные данные или контент смартфонов, однако она легко предоставляет возможность отслеживать только устройства Bluetooth и их пользователей. Алгоритмы, подготовленные учеными из американского университета, собирают информацию с аппаратного обеспечения Apple, компьютеров с установленной Windows 10 или решений, предлагаемых Fitbit. Интересно, что пробелы не были замечены в случае устройств Android. Решение состоит в том, чтобы реализовать автоматическую генерацию новых токенов, которые будут меняться в зависимости от MAC-адресов. Между тем, вы можете использовать альтернативный способ устранения этой проблемы - отключение и повторное подключение устройств, заново генерирует адреса и токены, что предотвращает возможный сбор данных о местоположении.