近日,来自利物浦大学、纽约大学等地的研究人员在WWW20大会上发表了题为NowheretoHide的论文:文章Cross-modalIdentityLeakagebetweenBiometricsandDevices发现了一种利用设备ID和生物识别信息对个人身份进行去匿名化的新方法,最终可以对超过70%的设备ID进行去匿名化。之前关于身份盗窃的研究只考虑了单一类型的身份,例如设备ID或生物识别信息。没有同时使用两种身份类型,也没有深入了解多模式物联网环境中相关信息的关联性。复合数据泄露攻击身份泄露机制是建立在长期秘密窃听网络物理空间中个人的想法之上的。设备ID去匿名化攻击者可以利用个人生物特征信息(人脸、语音等)和智能手机、物联网设备的WiFiMAC地址,通过构建这两个集合的时空关联来自动识别用户。攻击者可能是与受害者在同一网络上的用户,也可能是在咖啡店使用笔记本电脑窃听随机受害者的黑客。所以发动这样的攻击的成本是很容易的,成本也很低。为了实施攻击,研究人员建立了一个基于RaspberryPi的监听原型系统,该系统由一个录像机、一个8MP摄像头和一个可以获取设备ID的WiFi嗅探器组成。这样收集的数据不仅可以通过会话参与的存在直接证明设备的物理生物特征信息与个人设备的相似性,而且足以证明同一空间中的特定个体与一群人隔离开来.根据设备生物识别相关研究人员的说法,攻击的准确性可以降低到单个受害者可以隐藏在一群人中并共享相同或高度相似的会话参与模式的程度。可能的缓解技术由于网络中有数亿个物联网设备连接到互联网,此类数据泄露是一个真正的威胁,研究人员估计攻击者可以对超过70%的设备ID进行去匿名化处理。混淆无线通信和扫描隐藏的麦克风或摄像头可以帮助减轻这种跨模式攻击,但到目前为止还没有很好的对策。研究人员建议用户不要连接到公共WiFi网络,因为这会在网络上留下WiFiMAC地址信息。不要让多模式物联网设备24*7监控您的生活,例如智能门锁和语音助手。因为这些设备可能会在没有通知您的情况下将数据发送给第三方,如果以后数据泄露,可能会泄露您的身份。论文下载地址:https://arxiv.org/pdf/2001.08211.pdf项目地址:https://github.com/zjzsliyang/CrossLeak
