Spåras av dolda taggar? Apple och Google förenar sig för att föreslå säkerhets- och säkerhetsstandarder...

Återutgiven av Platon

anhängare: 0

Apples AirTag-system har blivit känt för firmware hacking, används som en gratis gemenskap med låg bandbredd radionätverk, och inblandad i en stalking-incident som tragiskt slutade i en åtal för mord.

För att vara rättvis mot Apple har företaget introducerat olika knep och tekniker för att göra AirTags svårare att utnyttja för stalkers och kriminella, med tanke på hur lätt enheterna kan gömmas i bagaget, stoppas in i klädseln på en bil eller klämmas in i gap under en cykelsadel.

Men med massor av liknande enheter som redan finns på marknaden, och Google sägs arbeta på en egen produkt för att dra nytta av de miljontals Bluetooth-aktiverade telefoner som är ute och kör Google Android...

… visst borde det finnas säkerhets- och säkerhetsstandarder som uppmuntras, eller kanske till och med efterfrågas och förväntas, på hela marknaden för "smart tag"?

Apple och Google verkar tro det, eftersom experter från båda företagen har arbetat tillsammans för att föreslå en internetstandard som de kallar Upptäcker oönskade platsspårare:

Internetstandarder behåller än i dag sin ursprungliga, försonande beteckning Begäran om kommentarer, nästan allmänt skriven enkelt som RFC. Men när man vill be om synpunkter på en föreslagen ny standard vore det otänkbart att kalla det en RFCRFC, så de är bara kända som Internetutkast, eller I-Ds, och har dokumentnamn och URL-sluggar som startar draft-. Varje utkast publiceras vanligtvis med en kommentarperiod på sex månader, varefter det kan överges, modifieras och föreslås på nytt, eller accepteras i gruppen och ges ett nytt, unikt nummer i RFC-sekvensen, som för närvarande är upp till RFC 9411 [2023-05-03T19:47:00Z].

.s-button+.s-button { margin-left: .3125rem; } .s-knapp { övergång: alla .15s linjära; teckenstorlek: .875rem; linjehöjd: 1.5; färg: #f2f2f2; teckensnittsfamilj: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; display: inline-block; stoppning: .3125rem 1.25rem; markör: pekare; text-align: center; text-dekoration: ingen; kantlinje: 1px fast #005bc8; border-radie: 3px; bakgrundsfärg: #005bc8; text-shadow: ingen; } .s-button:hover { text-dekoration: ingen; färg: #fff; kantfärg: #002d62; bakgrundsfärg: #002d62; } .s-button–white, .s-button–white:hover { färg: #005bc8 !viktigt; kantfärg: #fff; bakgrundsfärg: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehöjd: 1.5; färg: #242629; teckensnittsfamilj: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; position: relativ; max-bredd: 769px; marginal: 15px auto; stoppning: 30px 30px 25px; övergång: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); text-align: center; bakgrundsfärg: #0d141d; bakgrundsupprepning: ingen upprepning; bakgrundsposition: 50%; bakgrundsstorlek: omslag; box-skugga: 0 0 0 0 0 transparent; bakgrundsfärg: #005bc8; bakgrundsbild: ingen; bakgrundsposition: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehöjd: 1.125; margin-bottom: 4px; färg: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 17px; färg: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { färg: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absolut; topp: 15px; höger: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredd: 64px; höjd: 11px; vertikal-align: topp; bakgrundsupprepning: ingen upprepning; bakgrundsstorlek: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 28px; teckensnittsvikt: 700; linjehöjd: 1; margin-bottom: 10px; text-align: vänster; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; linjehöjd: 1.25; text-align: vänster; } .s-ad-sophos-mdr__action { text-align: höger; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-bredd:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolut; höger: 30px; botten: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Hur stor är för stor för att dölja?

Dokumentet introducerar termen UT, förkortning för Oönskad spårning, och författarna hoppas att väldesignade och korrekt implementerade spårningsenheter kommer att vidta åtgärder för att göra UT svårt (även om vi misstänker att denna risk aldrig kan elimineras helt).

Apple och Googles förslag börjar med att dela upp spårare i exakt två klasser: små och stora.

Stora enheter anses vara "lätt upptäckbara", vilket innebär att de är svåra att dölja, och även om de uppmanas att implementera UT-skydd är de inte skyldiga att göra det.

Små apparater däremot anses vara lätta att dölja och förslaget kräver att de ska ge minst en grundläggande nivå av UT-skydd.

Om du undrar så försökte författarna sätta fast skillnaden mellan liten och stor, och deras försök att göra det avslöjar hur svårt det kan vara att skapa obestridliga, universella definitioner av detta slag:

 Tillbehör anses vara lätta att hitta om de uppfyller något av följande kriterier: - Föremålet är större än 30 cm i minst en dimension. - Föremålet är större än 18 cm x 13 cm i två av dess dimensioner. - Objektet är större än 250 cm^3 i tredimensionellt utrymme.

Även om vi alla förmodligen är överens om att en AirTag är liten och lätt att dölja, anser denna definition också, förmodligen mycket rimligt, vår iPhone "liten", tillsammans med Garmin vi använder på vår cykel, och vår GoPro-kamera.

Vår MacBook Pro kommer dock in som "stor" på alla tre punkter: den är mer än 30 cm bred; den är mer än 13 cm djup; och den är långt över 250cc i volym (eller tredimensionellt utrymme, som dokumentet uttrycker det, vilket förmodligen inkluderar den extra totala "räta linje"-volymen som läggs till av bitar som sticker ut).

Du kan prova att mäta några av dina egna bärbara elektroniska enheter; du kan bli glatt överraskad över hur tjock och uppenbarligen uppenbar en produkt kan vara, och ändå betraktas som liten och "lätt dold" av specifikationerna.

Att väta eller inte väta?

Löst sagt förväntar sig de föreslagna standarderna att alla döljbara enheter:

FÅR INTE SÄNDAS deras identitet och spårbarhet när de vet att de är nära sin registrerade ägare. Detta hjälper till att säkerställa att en enhet som är officiellt med dig inte enkelt kan användas av någon annan för att hålla reda på alla dina svängningar när de följer dig runt personligen.
MÅSTE SÄNDAS ett "Hej, jag är en spårbar Bluetooth-grej"-meddelande var 0.5 till 2 sekunder när de vet att de är borta från sin ägare. Detta hjälper till att säkerställa att du har ett sätt att upptäcka att någon annan har lagt en etikett i din väska för att utnyttja taggen för att följa dig runt.

Som du kan se, dessa enheter utgör två mycket olika säkerhetsrisker: en där taggen ska inte gnälla om sig själv när det är med dig och är tänkt att vara där; och den andra där taggen måste gnälla om sig själv för att det sitter misstänksamt fast i dig även om det inte är ditt.

Taggar måste byta från läget "Jag håller tyst eftersom jag är med min riktiga ägare" till läget "Här är jag, ifall någon misstänker mig" efter högst 30 minuter av att inte synka med sin ägare.

Likaså måste de byta tillbaka till "Jag håller tyst" efter inte mer än 30 minuter efter att ha insett att de är tillbaka i trygga händer.

När de är hos dig måste de ändra sin maskinidentifierare (känd på jargongen som deras MAC-adress, Förkortning av mediaåtkomstkod) högst var 15:e minut, så att de inte ger dig bort för länge.

Men de måste hänga på sin MAC-adress i 24 timmar i taget när de skiljs från dig, så de ger alla andra gott om chanser att märka att samma ensamkommande tagg dyker upp i närheten.

Och om du upptäcker några oönskade taggar i din närhet, måste de svara på alla "avslöja dig själv"-sonder du skickar dem genom att pippa 10 gånger och vibrera eller blinka om de kan, vid en ljudnivå som fastställs mycket specifikt:

[piparen] MÅSTE avge ett ljud med minst 60 Phon peak loudness enligt ISO 532-1:2017. Ljudstyrkan MÅSTE mätas i fritt akustiskt utrymme väsentligen fritt från hinder som skulle påverka tryckmätningen. Ljudstyrkan MÅSTE mätas med en kalibrerad (till Pascal) frifältsmikrofon 25 cm från tillbehöret upphängt i fritt utrymme.

Att spåra, eller inte att spåra?

Mycket viktigt är att alla taggar du hittar inte bara måste ge dig ett sätt att stoppa den från att ringa hem med sin plats till sin ägare, utan också ge tydliga instruktioner om hur du gör detta:

Tillbehöret SKA ha ett sätt att [bli] inaktiverat så att dess framtida platser inte kan ses av dess ägare. Inaktivering SKA göras via någon fysisk åtgärd (t.ex. knapptryckning, gest, borttagning av batteriet, etc.).

Tillbehörstillverkaren SKA ge både en textbeskrivning av hur man inaktiverar tillbehöret samt en visuell skildring (t.ex. bild, diagram, animation etc.) som MÅSTE finnas tillgänglig när plattformen är online och VALFRITT när offline.

Med andra ord, när du tror att du har slagit någon som försöker spåra dig behöver du ett sätt att kasta bort din stalker från doften, samtidigt som du kan behålla den misstänkta enheten säkert som bevis, istället för att slå sönder den eller slänger den i en sjö för att hålla den tyst.

Om du ville, förutsatt att enheten inte var jurynriggad att slå på spårning precis när du trodde att du hade stängt av den, antar vi att du till och med kunde gå av spåret någonstans innan du stänger av den, och sedan gå tillbaka till din ursprungliga plats och fortsätt därifrån och sätter därmed ett falskt spår.

Vad göra?

Om du är intresserad av säkerhet för mobila enheter; om du gillar integritet; om du är orolig för hur spårningsenheter kan missbrukas...

...vi rekommenderar att du läser igenom dessa föreslagna standarder.

Även om vissa av specifikationerna gräver i tekniska detaljer som hur man krypterar serienummerdata, är andra lika mycket sociala och kulturella som de är tekniska, som när, hur och för vem sådan krypterad data ska avkodas.

Det finns också aspekter av förslaget som du kanske inte håller med om, till exempel specifikationen än att "obfuscerad ägarinformation" måste skickas ut av enheten på begäran.

Till exempel insisterar förslaget på att denna "obfuskerade" data måste innehålla åtminstone ett partiellt telefonnummer (de fyra sista siffrorna) eller en ihålig e-postadress (där tips@sophos.com skulle bli t***@s*****.com, som fördunklar äldre, kortare e-postadresser mycket mindre användbart än nyare, längre).

Det aktuella utkastet kom först igår [2023-05-02], så det finns fortfarande sex månader öppet för kommentarer och feedback...

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
Minting the Future med Adryenn Ashley. Tillgång här.
Källa: https://nakedsecurity.sophos.com/2023/05/03/tracked-by-hidden-tags-apple-and-google-unite-to-propose-safety-and-security-standards/

Tidsstämpel: Maj 3, 2023

Tidsstämpel: November 23, 2022

Återutgiven av Platon

Hur man firar SysAdmin Day!

Facebook 2FA-bedragare återvänder – den här gången på bara 21 minuter

Firefox åtgärdar en uppsjö av brister i den första av två utgåvor denna månad

Apache "Commons Configuration" korrigerar Log4Shell-liknande bugg - vad du behöver veta

Om Oss

Vertikal sökning och Ai

plattform

Håll kontakten

Konto