Bir akıllı telefonun benzersiz Bluetooth parmak izi, cihazın kullanıcısını izlemek için kullanılabilirdi – şimdiye kadar. Bir araştırmacı ekibi, Bluetooth parmak izini tamamen gizleyebilen ve bu açığı ortadan kaldıran basit bir aygıt yazılımı güncellemesi geliştirdi.
Mobil cihazlardan gelen Bluetooth sinyalleri gizlilik riskleri oluşturuyor
Yöntem, California San Diego Üniversitesi’ndeki bir araştırma ekibi tarafından geliştirildi. Ekip, 2022 IEEE Güvenlik ve Gizlilik konferansında sundukları bir çalışmada Bluetooth parmak izlerinin neden olduğu açığı keşfetti. Bu açığın düzeltmesini iki yıl sonra 2024 IEEE Güvenlik ve Gizlilik konferansında sundular. Güncellemenin arkasındaki matematik karmaşıktır ancak uygulama değildir.
“En güçlü olası saldırıyı, hangi algoritmayı kullandığımızı bilen bir ulus-devlet tipi saldırgan olarak varsaydık. Yine de başarısız oldular,” dedi makalenin kıdemli yazarlarından biri ve UC San Diego Bilgisayar Bilimi ve Mühendisliği Bölümü’nde öğretim üyesi olan Aaron Schulman.
Telefonlar, akıllı saatler ve fitness izleyicileri gibi mobil cihazlar, dakikada yaklaşık 500 işaretçi hızında Bluetooth işaretçileri olarak bilinen sinyalleri sürekli olarak iletir. Bu işaretçiler, Apple’ın “Find My” (kayıp bir cihazı bulmak için bir izleme hizmeti) ve COVID-19 izleme uygulamaları gibi özellikleri etkinleştirir. Ayrıca akıllı telefonları kablosuz kulaklıklar gibi diğer cihazlara bağlarlar.
Akıllı telefon şirketlerinin cihazları Bluetooth sinyalleriyle takip etmeyi zorlaştırmak için benimsediği mevcut yaklaşım, telefonun kimliğini ve MAC adresini rastgele değiştirmektir. Ancak, benzersiz donanım kusurları nedeniyle, bu her cihazın iletimlerinde bulunan fiziksel katman parmak izlerini ele almaz.
Tüm kablosuz aygıtlar, bu işaretleri yaymak için kullanılan donanımda her aygıta özgü küçük üretim kusurlarına sahiptir. Bu parmak izleri, üretim sürecinin kazara bir yan ürünüdür. Bluetooth donanımındaki bu kusurlar, belirli bir aygıtı izlemek için parmak izi olarak kullanılabilen benzersiz bozulmalara neden olur.
Araştırmacılar çok katmanlı randomizasyon yöntemini geliştiriyor
Araştırmacıların geliştirdiği yöntem birkaç rastgeleleştirme katmanı kullanıyor. Yöntemin doğası karmaşıktır, ancak bu, bir kişinin orijinal göz rengini maskelemek için birkaç kontakt lens katmanı kullanmaya ve bu katmanları tekrar tekrar ve rastgele değiştirmeye benzer. Bu yöntem, orijinal rengin gerçekte ne olduğundan bağımsız olarak kişinin gerçek göz rengini çıkarsamayı zorlaştırır.
UC San Diego araştırmacıları, fitness takipçileri, etiketler ve aydınlatma sistemleri gibi birçok akıllı cihazda şu anda kullanılan Texas Instruments CC2640 yonga setinde bu yeni savunmanın bir prototipini uyguladı. Pratik senaryolarda bir cihazı izlemek ve parmak izi almak için yapılan saldırıların başarısını etkileyen farklı parametrelerin etkisini analiz ettiler. Testlerinin sonucu, saldırganın bir dakika içinde ürün yazılımı güncellemesi olmadan elde edebileceği izleme doğruluğu seviyesine ulaşmak için cihazı 10 günden uzun süre sürekli olarak gözlemlemesi gerektiğini gösteriyor.
Makalenin kıdemli yazarlarından ve UC San Diego Elektrik ve Bilgisayar Mühendisliği Bölümü öğretim üyesi Profesör Dinesh Bharadia, “Bu, parmak izlerinin artık saldırganın cihazın kimliğini çıkarması için kullanışlı olmadığı ve en iyi saldırganın rastgele bir tahminden daha iyisini yapamayacağı anlamına geliyor.” dedi.
“Telefonun hemen yanında oturuyor olsanız bile parmak izini takip edemezsiniz, çünkü hem MAC hem de PHY kimlikleri sürekli değişiyor” diye ekledi.
Araştırmacılar artık bu teknolojiyi yonga setlerine entegre edebilecek endüstri ortakları arıyorlar.
Makalenin ilk yazarı ve UC San Diego Bilgisayar Bilimi ve Mühendisliği Bölümü’nde doktora öğrencisi olan Hadi Givehchian, “Bu savunma kademeli olarak uygulanabilir ve yalnızca yaygın olarak kullanılan en az bir Bluetooth Düşük Enerji yonga setinde yazılım değişikliği gerektirir” dedi. “Ancak bu savunmayı yaygın olarak uygulamak için Bluetooth yonga üreticileriyle ortaklık kurmamız gerekiyor.”
Ekip ayrıca bu yöntemin WiFi parmak izlerini gizlemede de işe yarayacağına inanıyor.