万维网联盟(W3C)的新型Web蓝牙API中存在多个安全漏洞,如在该标准起草阶段没有解决,那么就会导致用户指纹和物联网设备遭入侵。
以上是安全和隐私咨询师兼安全研究员兼W3C受邀专家Lukasz Olejnik的观点。他最近受邀审议API的初稿。
W3C通过推动物联网厂商一直致力于让W3C Web蓝牙API成为网站访问用户本地蓝牙设备,其中个人电脑或智能手机浏览器作为中继点。该API允许网站通过弹出消息的方式获取访问本地设备的许可,随后中继命令并直接从设备读取设备的输出内容。
相关的隐私问题
W3C成员认为通过实施以上提及的许可系统就解决了所有的隐私问题,但Olejnik却不这样认为并提出了一些问题。
基于设备名称的信息泄露。能够访问蓝牙设备的网站或攻击者能够判断出机主的真实名字。很多人都是用自己的真实姓名或昵称来命名设备。
行为监控。网站或攻击者能够查询具体功能,例如追踪心跳及其它敏感数据。
距离监控。网站或攻击者能够利用API的rssi或txPower属性来追踪用户跟某台蓝牙设备的距离,这样远程攻击者就能够了解到用户是否在家、是否工作以及何时休息等。
概要分析潜力。网站、攻击者或者广告商能够检测到用户的生活水平并根据共享的设备很可能判断出用户的财富。
简化对物联网设备的攻击
Olejnik指出,很快就会出现一种框架让测试、篡改或渗透蓝牙/物联网/WoT设备变得更加容易。他指的就是Metasploit类型的工具包。
他还指出另外的一个后果就是Web蓝牙API会降低恶意攻击者的准入门槛,它对技术方面的要求不是很高。不久之后每个拥有网络浏览器的人都能够成为攻击物联网和WoT设备(WoT即Web
of Things,是应用层,而IoT即我们通常说的物联网是网络层。WoT为简化IoT应用程序的创建提供了一种应用层)。
此前Olejnik曾批评W3C即将推出的Battery Status API(电池状态API),表示该API能够导致用户指纹窃取。此外他还以同样的理由批评W3C的Proximity Sensor API(距离遥感API)。