Die Identifizierung von Tokens und Zufallsadressen, die Anonymität schaffen sollen, ändern sich bei einigen Geräten nicht synchron - es wird ein Angriffsvektor geöffnet.
Schwachstellen in der Art und Weise, wie Bluetooth Low Energy von den Herstellern auf den Geräten implementiert wird, können die Tür zur globalen Geräteverfolgung für die Windows 10, iOS- und MacOS-Geräte öffnen, in die es integriert ist, wie Untersuchungen der Universität Boston zeigen.
Ein akademisches Team an der BU hat die Schwachstellen aufgedeckt, die in dem sich periodisch ändernden, randomisierten Geräteadressierungsmechanismus bestehen, den viele neue Bluetooth Low Energy (BLE)-Geräte enthalten, um eine passive Verfolgung zu verhindern. Am Mittwoch wurde auf dem 19. Symposium über Technologien zur Verbesserung des Datenschutzes ein Papier zu diesen Fragen (PDF) vorgestellt.
Bluetooth-Geräte werben für sich selbst als für andere Geräte verfügbar in öffentlich zugänglichen, klaren Kanälen, die als "Werbekanäle" bezeichnet werden, um die Kopplung mit anderen Geräten zu erleichtern. In frühen Versionen der Bluetooth-Spezifikation wurden die permanenten Bluetooth-MAC-Adressen der Geräte regelmäßig in diesen klaren Werbekanälen ausgestrahlt, was zu großen Bedenken hinsichtlich des Datenschutzes führte, die sich aus dem Potenzial für das Tracking der Geräte ergeben. Die BLE wollte dieses Problem lösen, indem sie den Geräteherstellern stattdessen erlaubte, in der Over-the-Air-Kommunikation temporäre Zufallsadressen anstelle der permanenten Adresse eines Geräts zu verwenden.
Viele BLE-Geräte verwenden jedoch auch dynamische Identifizierungs-Token, die für ein Gerät einzigartig sind und lange genug statisch bleiben, um als sekundäre Identifikatoren zu den Zufallsadressen verwendet zu werden. Die Forscher konnten die Geräte erfolgreich verfolgen, weil sich diese Identifizierungsmerkmale und die Zufallsadressen bei einigen Geräten nicht synchron ändern. So kann ein Identifizierungs-Token sowohl mit einer aktuellen Adresse als auch mit der nächsten dem Gerät zugewiesenen Zufallsadresse verknüpft werden. Durch die Identifizierung des Tokens bietet dies eine Art Brücke zwischen zufälligen Adressen, die von einem Angreifer verfolgt werden kann.
In der Forschung verwendete das akademische Team einen Packet Sniffer, um den Verkehr, der über die Werbekanäle kommt, mit einem so genannten Address Carryover-Algorithmus zu analysieren.
"Der Adress-Übertrag-Algorithmus nutzt die asynchrone Natur von Adress- und Nutzlaständerungen aus und verwendet unveränderte Identifizierungs-Token in der Nutzlast, um eine neue eingehende Zufallsadresse zu einem bekannten Gerät zurückzuverfolgen", so der Bericht. "[Dies] ist ein Online-Algorithmus, der kontinuierlich Änderungen in der Adresse sowie alle anderen relevanten identifizierenden Token beobachtet, die gefunden werden.
Der Algorithmus hört eingehende Adressen und Token ab, während sie auf einem der BLE-Werbekanäle ausgestrahlt werden. Nach dem Extrahieren von Token für ein bestimmtes Gerät wird bei einer Änderung der Werbeadresse ein Abgleich mit einem der verfügbaren erfassten Identifizierungs-Token versucht. Im Falle einer erfolgreichen Übereinstimmung kann die Identität des Geräts mit der eingehenden Adresse aktualisiert werden, so dass das Gerät erfolgreich über die Adressen hinweg verfolgt wurde.
Die Forscher testeten Computer und iPhones von Apple und Microsoft und fanden widersprüchliche Erfolge bei ihrer Proof-of-Concept-Arbeit, sagten sie.
"Der Algorithmus ist auf Windows 10 und manchmal auch auf Apple-Betriebssystemen erfolgreich", so der Bericht. "In beiden Fällen ändern sich die jeweiligen Erkennungsmerkmale nicht synchron mit der Werbeadresse. Im Fall von Windows 10 gibt es keine Hinweise auf eine gestalterische Synchronisation. Im Fall von Apple scheint es Mechanismen zu geben, um Aktualisierungen der Identifizierungs-Token mit der Adress-Randomisierung zu synchronisieren, aber sie schlagen gelegentlich fehl.
Während sich die Forschungsarbeit auf Windows 10 und Apple-Geräte konzentrierte, ist jedes Gerät für den Übertragungsalgorithmus anfällig, wenn es nicht alle seine Erkennungsmerkmale synchron mit der Werbeadresse ändert.