近日，來(lái)自英國(guó)利物浦大學(xué)(University of Liverpool)、紐約大學(xué)等地的研究人員在WWW 20會(huì)議上發(fā)表了題為Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章，發(fā)現(xiàn)了一種新的利用設(shè)備ID和生物信息來(lái)對(duì)個(gè)人身份進(jìn)行去匿名化的方法，最終可以對(duì)超過(guò)70%的設(shè)備id去匿名。

之前對(duì)身份竊取的研究只考慮了身份的單個(gè)類型，比如設(shè)備ID或是生物信息。沒(méi)有同時(shí)用這兩種身份類型，也沒(méi)有深刻理解多模物聯(lián)網(wǎng)環(huán)境中相關(guān)信息的關(guān)聯(lián)。

復(fù)合數(shù)據(jù)泄露攻擊

身份泄露機(jī)制是建立在長(zhǎng)時(shí)間對(duì)網(wǎng)絡(luò)物理空間中的個(gè)人進(jìn)行秘密竊聽(tīng)的思想之上的。

設(shè)備ID去匿名

攻擊者可以利用個(gè)人的生物信息(面部、聲音等)和智能手機(jī)、IoT設(shè)備的WiFi MAC地址，通過(guò)構(gòu)造這兩個(gè)集合的時(shí)空關(guān)聯(lián)來(lái)自動(dòng)識(shí)別用戶。攻擊者可以是與受害者處于同一網(wǎng)絡(luò)內(nèi)的用戶，也可以是在咖啡廳使用筆記本電腦來(lái)監(jiān)聽(tīng)隨機(jī)受害者的黑客。所以啟動(dòng)這樣的攻擊成本是非常容易的，成本也是非常低的。

為了實(shí)現(xiàn)攻擊，研究人員基于樹(shù)莓派的監(jiān)聽(tīng)原型系統(tǒng)，該系統(tǒng)由一個(gè)錄像機(jī)、一個(gè)8MP攝像頭和一個(gè)可以獲取設(shè)備id的WiFi嗅探器。這種方式收集的數(shù)據(jù)不僅可以證明了在設(shè)備的物理生物信息和個(gè)人設(shè)備直接按存在會(huì)話參與相似性，還證明了足以在相同的空間內(nèi)從一群人中隔離出特定的個(gè)人。

設(shè)備-生物信息關(guān)聯(lián)

研究人員稱，攻擊的準(zhǔn)確性可以減少到一個(gè)受害者可以隱藏在一群人中，并分享相同或高度相似的會(huì)話參與模型。

可能的緩解技術(shù)

網(wǎng)絡(luò)中有數(shù)億的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，因此這種數(shù)據(jù)泄露是一種現(xiàn)實(shí)的威脅，研究人員估計(jì)攻擊者可以將超過(guò)70%的設(shè)備id去匿名。對(duì)無(wú)線通信進(jìn)行混淆和掃描隱藏的麥克風(fēng)或攝像頭可以幫助緩解這類跨模攻擊，但目前為止還沒(méi)有很好的應(yīng)對(duì)措施。研究人員建議用戶不要連接公共WiFi網(wǎng)絡(luò)，因?yàn)檫@會(huì)在網(wǎng)絡(luò)中留下WiFi的MAC地址信息。

不要讓多模IoT設(shè)備24*7的監(jiān)控你的生活，比如智能門(mén)鎖、語(yǔ)音助理。因?yàn)檫@些設(shè)備可能會(huì)在沒(méi)有通知你的情況下將數(shù)據(jù)發(fā)送給第三方，之后如果數(shù)據(jù)泄露，就可能會(huì)泄露你的ID。

論文下載地址：https://arxiv.org/pdf/2001.08211.pdf

項(xiàng)目地址：https://github.com/zjzsliyang/CrossLeak