物联网隐私威胁:利用设备ID和用户生物信息来关联用户
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践
近日,来自英国利物浦大学(University of Liverpool)、纽约大学等地的研究人员在WWW 20会议上发表了题为Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章,发现了一种新的利用设备ID和生物信息来对个人身份进行去匿名化的方法,最终可以对超过70%的设备id去匿名。
之前对身份窃取的研究只考虑了身份的单个类型,比如设备ID或是生物信息。没有同时用这两种身份类型,也没有深刻理解多模物联网环境中相关信息的关联。
复合数据泄露攻击
身份泄露机制是建立在长时间对网络物理空间中的个人进行秘密窃听的思想之上的。
设备ID去匿名
攻击者可以利用个人的生物信息(面部、声音等)和智能手机、IoT设备的WiFi MAC地址,通过构造这两个集合的时空关联来自动识别用户。攻击者可以是与受害者处于同一网络内的用户,也可以是在咖啡厅使用笔记本电脑来监听随机受害者的黑客。所以启动这样的攻击成本是非常容易的,成本也是非常低的。
为了实现攻击,研究人员基于树莓派的监听原型系统,该系统由一个录像机、一个8MP摄像头和一个可以获取设备id的WiFi嗅探器。这种方式收集的数据不仅可以证明了在设备的物理生物信息和个人设备直接按存在会话参与相似性,还证明了足以在相同的空间内从一群人中隔离出特定的个人。
设备-生物信息关联
研究人员称,攻击的准确性可以减少到一个受害者可以隐藏在一群人中,并分享相同或高度相似的会话参与模型。
可能的缓解技术
网络中有数亿的物联网设备连接到互联网,因此这种数据泄露是一种现实的威胁,研究人员估计攻击者可以将超过70%的设备id去匿名。对无线通信进行混淆和扫描隐藏的麦克风或摄像头可以帮助缓解这类跨模攻击,但目前为止还没有很好的应对措施。研究人员建议用户不要连接公共WiFi网络,因为这会在网络中留下WiFi的MAC地址信息。
不要让多模IoT设备24*7的监控你的生活,比如智能门锁、语音助理。因为这些设备可能会在没有通知你的情况下将数据发送给第三方,之后如果数据泄露,就可能会泄露你的ID。
论文下载地址:https://arxiv.org/pdf/2001.08211.pdf
项目地址:https://github.com/zjzsliyang/CrossLeak
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
激发现代网络创新的三个注意事项
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 如今的网络也可能无法很好地适应需求变化。一些网络专家分享了他们对网络创新的想法,其中包括传统思维如何延缓网络发展以及是否有可能进行变革。 网络专家Greg Ferro在其Ethereal Mind博客上提出了工程师应重新评估的四项网络创新和思维模式,其中涵盖了有关网络和网络协议到新架构(例如软件定义网络)的一般流程的误解。 这些问题凸显了技术、工程师和用户之间的整体脱节。Ferro认为,网络的主要痛点包括: 网络工程师并不认为网络是端到端的,它比网络流量更注重权衡特定的跃点和单个设备。 网络不是单一的实体,而是许多相互连接系统的组合。 自我配置系统的想法并不可行,并且系统本身是不可预测的,并且使用的是弱协议。 SDN仍然毫无生气。它缺乏标准,因此尚不清楚各个控制器之间如何实现连接性和协调性。 Ferro写道:“我担心的是这些SDN控制的网络之间的连通性和协调性,因为它们之间的互操作性没有任何标准。现有标准均不适用于这些新系统。” 通过重新考虑这四个问题,工程师们也许能够推动一些必要的网络创新。接受这些领域的变革有助于...
- 下一篇
谷歌Project Zero团队揭苹果众多新漏洞,聊天图像暗藏危机
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 Apple Mail风波才刚刚过去,谷歌又炸出了苹果一波新漏洞,这一操作是否又让苹果用户的信心碎了一地? 昨日,谷歌安全团队Project Zero披露一系列苹果的安全漏洞,涉及iPhone、iPad、Mac用户。该团队利用“Fuzzing”测试发现苹果基础功能Image I/O框架中的6个漏洞,OpenEXR中的8个漏洞。 随后谷歌团队向苹果报告了这些漏洞,6个Image I/O问题在1月和4月获得了安全更新,而OpenEXR则已在v2.4.1中进行了修补。在iOS13版本后都已经更新和修复,用户只需要将设备更新到最新版本即可。 说到Image I/O框架或许大家都还很陌生,简单来说就是会影响到设备图像使用的多媒体组件。当用户打开手机相册或者用微信传输图像时,这一框架就派上用场了。这意味着用户设备上的图片读写存储、社交工具中图像传输等涉及图像使用的基本都会用到这一基础框架。 Image I/O框架支持大多数常见的图像文件格式,如JPEG、JPEG2000、RAW、TIFF、BMP和PNG。当用户需要用到图片数据时,...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- Mario游戏-低调大师作品
- CentOS关闭SELinux安全模块
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池