Группа программистов из США, Великобритании и Китая создали кросс-модальную атаку, которая позволяет профилировать и отслеживать людей в сети с использованием идентификаторов их устройств и сохраненных биометрических данных. Разработка была представлена в рамках Web Conference, которая прошла в китайской Тайбэе в середине апреля. Дополнительно специалисты опубликовали прототип и код.
В качестве базового элемента работы кросс-атаки выступает идея скрытого подслушивания человека в киберпространстве в течение продолжительного временного отрезка. Если говорить кратко, то технология состоит в том. Чтобы пользоваться уникальными и индивидуальными для каждого человека биометрическими данными (голос, лицо) в комбинации с МАС-адресами гаджетов и IoT-устройств, чтобы его идентифицировать в автоматическом режиме за счет выстраивания пространственно-временной корреляции между наборами информации.
Чтобы осуществить подобную кросс-атаку, специалисты сделали прототип устройства на основе Raspberry Pi. Прототип включает в себя устройство для звукозаписи, камеру на 8 мегапикселей, Wi-Fi анализатор, который необходим для захвата идентификационных данных конкретного гаджета. Сведения, которые будут собраны с использованием устройства, призваны подтвердить наличие сходства посещаемости сеанса биометрической информации пользователя и его гаджета. Нестандартность полученных сведений заключается в том, что их вполне хватает, чтобы идентифицировать человека среди группы людей, в которой он находится в конкретный момент времени.
Разработчики отмечают высокую вероятности уменьшения точности кросс-атаки, если нужный пользователь идет в толпе и его схема посещаемости аналогична со схемой другого человека. По примерным подсчетам группы специалистов, их устройство способно деанонимизировать около 70% идентификаторов гаджетов.
На сегодняшний день невозможно обеспечить полноценную защиту от возможной атаки такого рода. Чтобы смягчить ее воздействие, специалисты рекомендуют пользоваться обфускацией беспроводной связи и выполнять систематическое сканирование на наличие скрытых звукозаписывающих устройств и камер.