Investigadores encuentran una forma de anonimizar identificadores de dispositivos a los datos biométricos de usuarios - Masterhacks Blog

Investigadores encuentran una forma de anonimizar identificadores de dispositivos a los datos biométricos de usuarios

Investigadores descubrieron un medio potencial para perfilar y rastrear a los usuarios en línea utilizando un enfoque novedoso que combina identificadores de dispositivos con su información biométrica.

Los detalles provienen de una investigación recientemente publicada titulada «Nowhere to Hide: fuga de identidad intermodal entre biometría y dispositivos», realizada por un grupo de académicos de la Universidad de Liverpool, la Universidad de Nueva York, la Universidad China de Hong Kong y la Universidad de Buffalo Sol.

«Los estudios previos sobre el robo de identidad solo consideran el objetivo del ataque para un solo tipo de identidad, ya sea para identificaciones de dispositivos o biometría. Sin embargo, la parte que falta es explorar la viabilidad de comprometer los dos tipos de identidades simultáneamente y comprender profundamente su correlación en entornos IoT multimodales», dijo Chris Xiaoxuan Lu, profesor asistente de la Universidad de Liverpool.

Los investigadores presentaron los hallazgos en la Conferencia Web 2020 celebrada en Taipei la semana pasada. Se puede acceder al prototipo y al código asociado.

El mecanismo de fuga de identidad se basa en la idea de espionaje subrepticio de individuos en espacios ciberfísicos durante largos períodos de tiempo.

En pocas palabras, la idea es que un mal actor puede explotar la singularidad de la información biométrica de los individuos (rostros, voces, etc.) y las direcciones MAC de WiFi de los teléfonos inteligentes y dispositivos IoT para identificar de forma automática a las personas dibujando una correlación espacio-temporal entre los dos conjuntos de observaciones.

«El atacante puede ser incluso compañeros de trabajo que comparten la misma oficina con las víctimas o personas ajenas que usan sus computadoras portátiles para espiar a las víctimas al azar en una cafetería. Por lo tanto, lanzar un ataque de este tipo no es difícil, considerando que los dispositivos IoT multimodales son muy pequeños y se pueden disfrazar bien, como una cámara espía con función de detección de WiFi. En general, hay poco esfuerzo de configuración al costado del dispositivo agresor», dijo Xiaoxuan.

Para montar el ataque, los investigadores ensamblaron un prototipo de espionaje construido sobre una Raspberry Pi que consistía en una grabadora de audio, una cámara de 8MP y un sniffer WiFi que puede capturar los identificadores del dispositivo.

Los datos recopilados de esta forma no solo determinaron que existe una similitud de asistencia a la sesión entre la biometría física de uno y su dispositivo personal, sino que también son lo suficientemente únicos para poder aislar a un individuo específico entre distintas personas ubicadas en el mismo espacio.

Sin embargo, la precisión del ataque puede disminuir en caso de que una víctima esté oculta en una multitud y comparta el mismo patrón de asistencia a la sesión o muy similar con otro sujeto en él, algo que es difícil de suceder y poco práctico, según los investigadores.

Posibles técnicas de mitigación

Con miles de millones de dispositivos IoT conectados a Internet, los investigadores afirman que el efecto compuesto de dicha fuga de datos es una amenaza real, con el adversario capaz de desanonimizar más del 70% de los identificadores del dispositivo.

Ofuscar las comunicaciones inalámbricas y buscar micrófonos o cámaras ocultas podría ayudar a mitigar el ataque intermodal, aunque advierten que aún no existe una buena contramedida.

«Evite conectar WiFi a redes inalámbricas públicas, ya que deja expuesta su dirección MAC de WiFi subyacente. No permite que sus dispositivos IoT multimodales (como timbres inteligentes o asistentes de voz) lo supervisen las 24 horas, los 7 días a la semana, ya que envían datos a terceros sin transparencia para usted, y pueden ser pirateados fácilmente y pueden comprometer su ID en distintas dimensiones», dijo Xiaoxuan Lu.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *