近日，來自英國利物浦大學(xué)(University of Liverpool)、紐約大學(xué)等地的研究人員在WWW 20會議上發(fā)表了題為Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章，發(fā)現(xiàn)了一種新的利用設(shè)備ID和生物信息來對個人身份進行去匿名化的方法，最終可以對超過70%的設(shè)備id去匿名。

之前對身份竊取的研究只考慮了身份的單個類型，比如設(shè)備ID或是生物信息。沒有同時用這兩種身份類型，也沒有深刻理解多模物聯(lián)網(wǎng)環(huán)境中相關(guān)信息的關(guān)聯(lián)。

復(fù)合數(shù)據(jù)泄露攻擊

身份泄露機制是建立在長時間對網(wǎng)絡(luò)物理空間中的個人進行秘密竊聽的思想之上的。

設(shè)備ID去匿名

攻擊者可以利用個人的生物信息(面部、聲音等)和智能手機、IoT設(shè)備的WiFi MAC地址，通過構(gòu)造這兩個集合的時空關(guān)聯(lián)來自動識別用戶。攻擊者可以是與受害者處于同一網(wǎng)絡(luò)內(nèi)的用戶，也可以是在咖啡廳使用筆記本電腦來監(jiān)聽隨機受害者的黑客。所以啟動這樣的攻擊成本是非常容易的，成本也是非常低的。

為了實現(xiàn)攻擊，研究人員基于樹莓派的監(jiān)聽原型系統(tǒng)，該系統(tǒng)由一個錄像機、一個8MP攝像頭和一個可以獲取設(shè)備id的WiFi嗅探器。這種方式收集的數(shù)據(jù)不僅可以證明了在設(shè)備的物理生物信息和個人設(shè)備直接按存在會話參與相似性，還證明了足以在相同的空間內(nèi)從一群人中隔離出特定的個人。

設(shè)備-生物信息關(guān)聯(lián)

研究人員稱，攻擊的準(zhǔn)確性可以減少到一個受害者可以隱藏在一群人中，并分享相同或高度相似的會話參與模型。

可能的緩解技術(shù)

網(wǎng)絡(luò)中有數(shù)億的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，因此這種數(shù)據(jù)泄露是一種現(xiàn)實的威脅，研究人員估計攻擊者可以將超過70%的設(shè)備id去匿名。對無線通信進行混淆和掃描隱藏的麥克風(fēng)或攝像頭可以幫助緩解這類跨模攻擊，但目前為止還沒有很好的應(yīng)對措施。研究人員建議用戶不要連接公共WiFi網(wǎng)絡(luò)，因為這會在網(wǎng)絡(luò)中留下WiFi的MAC地址信息。

不要讓多模IoT設(shè)備24*7的監(jiān)控你的生活，比如智能門鎖、語音助理。因為這些設(shè)備可能會在沒有通知你的情況下將數(shù)據(jù)發(fā)送給第三方，之后如果數(shù)據(jù)泄露，就可能會泄露你的ID。

論文下載地址：https://arxiv.org/pdf/2001.08211.pdf

項目地址：https://github.com/zjzsliyang/CrossLeak