Los investigadores descubren una forma novedosa de anonimizar las identificaciones de los dispositivos a los datos biométricos de los usuarios

Los investigadores han descubierto un medio potencial para perfilar y rastrear a los usuarios en línea utilizando un enfoque novedoso que combina identificadores de dispositivos con su información biométrica.

Los detalles provienen de una investigación recientemente publicada titulada 'Nowhere to Hide: Fuga de identidad intermodal entre biometría y dispositivos' por un grupo de académicos de la Universidad de Liverpool, la Universidad de Nueva York, la Universidad China de Hong Kong y la Universidad de Buffalo Sol.

'Estudios previos sobre robo de identidad solo consideran el objetivo del ataque para un solo tipo de identidad, ya sea para identificaciones de dispositivos o biometría', dijo Chris Xiaoxuan Lu, profesor asistente de la Universidad de Liverpool, en una entrevista por correo electrónico. 'Sin embargo, la parte que falta es explorar la viabilidad de comprometer los dos tipos de identidades simultáneamente y comprender profundamente su correlación en entornos IoT multimodales'.

Los investigadores presentaron los hallazgos en la Conferencia Web 2020 celebrada en Taipei la semana pasada. Se puede acceder al prototipo y al código asociado aquí.

Un ataque de fuga de datos compuestos

El mecanismo de fuga de identidad se basa en la idea de espionaje subrepticio de individuos en espacios ciberfísicos durante largos períodos de tiempo.

En pocas palabras, la idea es que un mal actor puede explotar la singularidad de la información biométrica de los individuos (rostros, voces, etc.) y las direcciones MAC de Wi-Fi de los teléfonos inteligentes y dispositivos IoT para identificar automáticamente a las personas dibujando una correlación espacio-temporal entre los dos conjuntos de observaciones.

'El atacante puede ser información privilegiada como compañeros de trabajo que comparten la misma oficina con las víctimas o personas ajenas que usan sus computadoras portátiles para espiar a las víctimas al azar en una cafetería', dijo Xiaoxuan Lu. 'Por lo tanto, lanzar un ataque de este tipo no es difícil, considerando que los dispositivos IoT multimodales son muy pequeños y se pueden disfrazar bien, como una cámara espía con función de detección de Wi-Fi. En general, hay poco esfuerzo de configuración al costado del dispositivo. agresor.'

Para montar el ataque, los investigadores ensamblaron un prototipo de espionaje construido sobre una Raspberry Pi que consistía en una grabadora de audio, una cámara de 8MP y un sniffer Wi-Fi que puede capturar los identificadores del dispositivo.

Los datos recopilados de esta manera no solo determinaron que existe una similitud de asistencia a la sesión entre la biometría física de uno y su dispositivo personal, sino que también son lo suficientemente únicos como para aislar a un individuo específico entre varias personas ubicadas en el mismo espacio.

Sin embargo, la precisión del ataque puede disminuir en caso de que una víctima esté oculta en una multitud y comparta el mismo patrón de asistencia a la sesión o muy similar con otro sujeto en el, algo que es difícil de suceder y poco práctico, según los investigadores.

Posibles técnicas de mitigación

Pero con miles de millones de dispositivos IoT conectados a Internet, los investigadores dicen que el efecto compuesto de tal fuga de datos es una amenaza real, con el adversario capaz de desanonimizar más del 70% de los identificadores del dispositivo.

Ofuscar las comunicaciones inalámbricas y buscar micrófonos o cámaras ocultos podría ayudar a mitigar el ataque intermodal, aunque advierten que todavía no hay una buena contramedida.

'Evite conectar Wi-Fi a redes inalámbricas públicas, ya que deja expuesta su dirección MAC de Wi-Fi subyacente', dijo Xiaoxuan Lu.

'No permita que dispositivos IoT multimodales (como timbres inteligentes o asistentes de voz) lo supervisen las 24 horas, los 7 días de la semana, ya que envían datos a terceros sin transparencia para usted, y pueden ser pirateados fácilmente y pueden comprometer su ID en varias dimensiones '.