Die Benutzeridentität spielt eine wichtige Rolle bei der Durchführung von Cyberattacken. Erstmals versuchten Forscher, die biometrische Identität von Individuen mit einer Device-Identität zu verknüpfen, statt nur das eine oder andere isoliert zu erbeuten. Die Forscher erläutern, sie hätten die Machbarkeit einer gleichzeitigen Kompromittierung beider "Identitätsarten" untersucht, um deren Beziehungen in multimodalen IoT-Umgebungen – bei der Interaktion zwischen Menschen und Computern – zu verstehen.

Laut eigenen Angaben können die Autoren – Forscher der University of Liverpool, der New York University, der Chinese University of Hong Kong und der University at Buffalo SUNY – aufzeigen, dass man biometrische Daten eines Menschen und WiFi-MAC-Adressen von Smartphones und IoT-Geräten leicht verknüpfen kann. Die Tools dazu seien billig und im Handel erhältlich, ebenso simpel sei ihr Einsatz durch Insider oder Aussenstehende.

In ihrem Paper "Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices" erläutern sie, wie diese unterschiedlichen Identitäten als Seitenkanäle funktionieren. Es habe sich gezeigt, "dass unsere Methode robust gegenüber verschiedenen Umgebungsgeräuschen in 'freier Wildbahn' ist, und dass ein Angreifer ein umfassendes mehrdimensionales Opferprofil erstellen kann - und das bei nahezu null Analyseaufwand".

100% war ihr Erfolg nicht, aber sie hätten 70% der involvierten Geräte-IDs kompromittiert und gleichzeitig multibiometrische Cluster mit einer Reinheit von rund 94% erbeutet.

Die obige Grafik zeigt das Angriffsszenario: Beispielsweise über eine versteckte Kamera und/oder ein mit einem WiFi-Sniffer verknüpften Mikrofon sammelt ein Angreifer in mehreren Firmenmeetings unentdeckt biometrische Daten und Gerätedaten. Der Angreifer kann anschliessend die Zielpersonen (in der Grafik "Alex" und "Bob") automatisch identifizieren. Die anderen Personen in der Grafik sind keine Zielpersonen.

Die Methode funktioniert natürlich am besten, wenn ein Insider involviert ist, der das Aufnahmegerät platzieren kann, ohne aufzufallen. Selbst regelmässige Kontrollen des WiFi-Verkehrs würden die Attacke nicht aufdecken, so wie das Sensoren-Setup – genannt wird u.a. ein Raspberry Pi und ein Matrix-IO-Mikrophon – der Forscher angelegt ist.

Aber auch ein Outsider könne Zielpersonen mit einem Laptop in einem Café mit Public Wi-Fi ausspionieren, beispielsweise mit einem WiFi Sniffer, wie er für viele Laptops erhältlich sei.

In ihrer 12-seitigen Arbeit zeigen die Forscher detaillierter auf, wie sie vorgingen und zum Fazit gelangten: "Die Ergebnisse zeigen, dass unser Ansatz in zwei realen Szenarien durchführbar ist, in denen Gesichts-Daten und Sprach-Daten erfasst und mit MAC-Adressen von Geräten verknüpft werden." Damit würden Identitätsdiebstähle "erheblich erleichtert."

Mitigationen gebe es für User von IoT-Geräten – ob Smartphones, smarte Lautsprecher oder Schlösser – keine permanenten. Jetzt müssten die Hersteller handeln, so die Autoren.

Das Paper ist als PDF-Download verfügbar, der Prototyp der Forscher auf Github.