Bluetooth LEにWindows PCやiOS/macOSなど対応デバイスを識別/追跡できる脆弱性

実デバイスを使った検証結果

　米ボストン大学の研究チームは、スウェーデン・ストックホルムで16日より開催されている「Privacy Enhancing Technologies Symposium」にて、Bluetooth Low Energyにおける製品実装上の脆弱性を利用してデバイスを追跡する手法についてのレポートを公開した。

　レポートは同大学のDavid Starobinski氏とDavid Li氏、Johannes Becker氏らによって公開されたもので、Web上でも公開されている。

　Bluetooth 4.0から追加されたBluetooth Low Energy (BLE)では、デバイスの存在を周囲へ知らせるために、パブリックな(暗号化されていない)Advertisingチャネルで周期的にアドレスを発信している。

　このアドレスからデバイスを追跡されることを防ぐために、MACアドレスに代わって周期的に変化するランダマイズされたアドレスが使用されている。今回報告されたレポートでは、そういった匿名化対策を実装している、Windows 10搭載PCやiOSデバイスなどのデバイスの多くをターゲットに、デバイスを特定して追跡を実現する手法について報告されている。

　研究者らによれば、Advertisingメッセージにはランダム化されたデバイスIDのような情報のほかにデバイス接続に必要となる情報なども含まれている。これらの情報は十分な時間にわたり静的であるため、さまざまなタイプのAdvertisingメッセージを調査することで、メッセージのペイロードから、デバイスの二次的な識別子として利用するための、装置固有の“識別トークン”を割り出すことができたという。

　この識別トークンは、アドレスのランダム化に同期して変化しないため、研究チームは、ペイロード内の識別トークンを使用して新たに受信したランダムアドレスを特定済みのデバイスにトレースバックし、アドレスランダム化による匿名化を無力化する「アドレスキャリーオーバーアルゴリズム」と呼ぶオンラインアルゴリズムを開発。これにより、匿名化対策が実施されていても、継続的なデバイスの追跡を実現した。

　識別トークンの解析は、前述のとおり暗号化されていないAdvertisingチャネルのペイロードに基づいているため、メッセージの復号化やBluetoothのセキュリティそのものを破る必要がなく、チームの調べでは、この手法はすべてのWindows 10搭載デバイスや、iOSおよびmacOSデバイスなどにも影響するという。

　とくにウェアラブルデバイスなどでは、消費電力削減などの関係からランダマイズが実装されていない場合もあるため、より深刻な影響があるとしている。

　レポートで提案されている手法は、Bluetoothの動作半径内における追跡について考慮されているが、研究チームでは、このような局所的なBLE追跡手法をボットネットで協調させることで、大規模かつ複雑化できるため、理論的には世界規模での追跡も可能になると指摘。

　対策手法としては、メッセージ内のペイロードをアドレスのランダム化と同期して変更することで追跡を防げるとしている。

　低電力デバイスでもアドレスランダム化を実装することを推奨しており、ウェアラブルやバッテリ駆動のセンサーデバイスなどでは、前述のとおり消費電力の関係でアドレスのランダム化が困難な場合があるが、そういったデバイスでも、充電中など電力制約のない状況でアドレスのランダム化を実行するよう設計することで、少なくとも恒久的な追跡は回避できるとしている。

　チームによれば、現状のWindows 10においては、設定からBluetoothを有効/無効化を切り替えても、Advertisingチャネルのブロードキャストが停止するだけで、メッセージペイロードの再生成は行なわれない(PCの製造元による)。ただし、デバイスマネージャからBluetoothデバイスを完全に無効にし、再度有効にすれば、アドレスキャリーオーバーの追跡を無効化することが可能であるという。iOS/macOSデバイスでは、Bluetoothを有効/無効化の切り替えでペイロードとアドレスのランダム化が実行される。

　なお、Androidデバイスでは、Advertisingメッセージが連続的に送信されていなかったため、アドレスキャリーオーバーアルゴリズムの影響を受けなかったという。