Bluetooth API: wielkie możliwości i nie mniejsze zagrożenie. Namierzanie precyzyjne, jak nigdy wcześniej
Rozwój Internetu Rzeczy oraz zwiększająca się liczba komunikujących się bezprzewodowo urządzeń, które użytkownicy wykorzystują do śledzenia swojej aktywności, musi znaleźć swoje odzwierciedlenie nie tylko w formie aplikacji mobilnych czy pulpitowych.
Często znacznie chętniej wykorzystywane są aplikacje webowe, a na ich potrzeby organizacja W3C pracuje (a właściwie kończy prace) nad Bluetooth API – protokołem, który umożliwi już nie parowanie i przekazywanie danych pomiędzy dwoma lokalnymi urządzeniami, a pomiędzy urządzeniem a zewnętrznym serwerem, na którym działa przeglądarkowa aplikacja. O analizę bezpieczeństwa Bluetooth API poproszony został w ostatnim czasie Łukasz Olejnik, pracujący dla INRIA Privatics oraz jako niezależny doradca W3C. Jego wnioski trudno uznać za optymistyczne.
Problem, według Olejnika, stanowią już same założenia Bluetooth API. Wielu mniej zaawansowanym użytkownikom trudno będzie bowiem uświadomić, że ich urządzenie nie komunikuje się już lokalnie. Obsługa Bluetooth API, sprowadzająca się w zasadzie do autoryzacji przekazania danych, będzie się odbywać za pośrednictwem zwykłego potwierdzenia powiadomienia z przeglądarki.
To zaś tworzyć może wrażenie, że dane będą wciąż wykorzystywane lokalnie, jedynie przez zainstalowaną na komputerze przeglądarkę. W rzeczywistości informacje zebrane przez smartfon, smartwatch czy opaskę fitness, będą musiały zostać przesłane na serwery dostawcy webowej aplikacji – przeglądarka będzie miała tutaj jedynie rolę pośrednika umożliwiającego autoryzację, za sprawą natywnej obsługi Bluetooth API.
Kolejny problem stanowi ogromna wartość informacji przekazywanych z urządzeń komunikujących się przez Bluetooth. I nie chodzi tutaj bynajmniej o aktywności zbierane przez smartopaskę, jak choćby zapis przeprowadzonego danego dnia treningu. Bluetooth API przewiduje bowiem, że już po sparowaniu urządzenia z serwerem, wysyłane będą metadane dotyczące samego urządzenia.
Na serwery zostaną zatem wysłane dane pozwalające na niezwykle precyzyjną identyfikację. W przypadku Bluetooth API, dostawcy usług zyskają dostęp do parametru, który z dużo większą, niż np. GPS czy GLONASS, precyzją będzie mógł lokalizować użytkownika. A to za sprawą pomiaru mocy sygnału mierzonej w logarytmicznej jednostce dBm. Oznacza to, że właściciel serwera będzie mógł lokalizować urządzenie nawet w domu użytkownika i sprawdzić, czy ten (zakładając, że nosi sparowane z serwerem urządzenie na nadgarstku) wciąż korzysta z komputera, czy też może się oddalił. A to już dość mocno działająca na wyobraźnię wizja.
Przykłady dotyczące smartfonów i innych urządzeń mobilnych czy ubieralnych, to zaledwie początkowy zakres wykorzystania Bluetooth API – docelowo ma on być wykorzystywany powszechnie w dobie upowszechnienia się IoT i automatyki domowej. A to nie nastraja optymizmem w kontekście ostatnich ataków przeprowadzonych z wykorzystaniem botnetu Mirai, złożonego właśnie z urządzeń Internetu Rzeczy.