Forscher nutzen Biometrie und Daten aus IoT-Geräten zur Identifizierung von Personen

Forscher der University of Liverpool, der New York University, der Chinese University of Hong Kong und der University at Buffalo (SUNY) fanden eine Möglichkeit, die in privaten Geräten gespeicherten Informationen zu de-anonymisieren, sodass sie Personen durch die Kombination aus biometrischen Daten und Geräte-IDs identifizieren können.

Obwohl IoT-Geräte ständig eine Menge Daten senden, denken die Anwender möglicherweise, dass sie vor herumschnüffelnden Angreifern sicher sind, einfach weil es so viele dieser Geräte gibt. Die alleinige Verwendung der von einem Gerät kommunizierten MAC-Adresse reicht nicht aus, um den Anwender zu identifizieren, aber in Kombination mit biometrischen Daten können die Ergebnisse verfeinert werden.

Laut einem Bericht des Portals Hacker News, der eine Veröffentlichung mit dem Titel „Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices“ (Auf Deutsch etwa ‚Es gibt kein Versteck mehr: kreuzmodales Identitätsleck zwischen Biometrie und Geräten‘) zitiert, konnten Forscher ein umfassendes, mehrdimensionales Opferprofil erstellen, indem sie verschiedene biometrische Daten und Geräte-IDs nutzten.

„Während die Gefahr durch die Preisgabe bestimmter biometrischer Daten oder von Geräte-IDs einzeln bereits umfassend untersucht ist, gibt es noch keine Erkenntnisse darüber, wie es sich auswirkt, wenn in multimodalen Erfassungsumgebungen Daten aus beiden Bereichen in die falschen Hände geraten“, heißt es in der Zusammenfassung des Berichts.

„In dieser Arbeit untersuchen wir, inwiefern es machbar ist, Identitäten anhand von zusammengeführten Daten aus dem Cyber-Raum und der physischen Welt zu ermitteln, und wir stellen fest, dass auf demselben Gerät gespeicherte, intelligente Geräte-IDs (z. B. Smartphone-MAC-Adressen) und biometrische Daten (z. B. Gesichts-/Stimmproben) in Kombination neue Angriffskanäle eröffnen.

In der Studie wird auch ein einfacher Angriff als praktisches Beispiel gezeigt. Bei dem verwendeten Tool handelte es sich um ein speziell angefertigtes Gerät auf Basis eines Raspberry Pi, das mit einer 8-Megapixel-Kamera, einem Audiorecorder und einem WiFi-Sniffer gekoppelt war. Durch die Erfassung von biometrischen und Gerätedaten konnten die Forscher bestimmte Personen in Gruppen sicher identifizieren. Zeit war hierbei der entscheidende Faktor: Je länger das Experiment läuft, desto genauer sind die Ergebnisse.

Es gibt zwar keine bestimmte Methode, mit der sich die Menschen schützen können, aber ratsam wäre, kein öffentliches WLAN zu verwenden und keine ständige Überwachung der Anwender durch multimodale IoT-Geräte, wie intelligente Kameras oder Türklingeln, zuzulassen.