Come può qualcuno sfruttare il Web fisico di Google?

Question

Come può qualcuno sfruttare il Web fisico di Google?

#1 da (2 voti)
#2 da (0 voti)

11

Un pensiero: l'elenco degli URL è classificato in base alla forza del segnale. Cosa impedisce a qualcuno di aumentare la forza trasmissiva dei propri fari in modo che si classificino per primi?

Che altro si potrebbe fare?

Per chi non ha familiarità con il Web fisico: link

Fondamentalmente, il Physical Web è un servizio di scoperta alimentato da beacon bluetooth a bassa energia. Gli oggetti intelligenti trasmettono gli URL pertinenti che possono essere ricevuti da qualsiasi dispositivo nelle vicinanze.

bluetooth

posta Dmitrii Anikin 26.08.2016 - 16:39

fonte

2 risposte

Leggi altre domande sui tag bluetooth

Perché questo attacco cache funziona? Microservice su Microservice Auth

score 2 · Answer 1

Un vettore di attacco più serio è il phishing o la distribuzione di malware. Impostare un faro con un nome legittimo e / o attraente, trasmettendo un collegamento dannoso. Dato che (almeno per ora) questo verrà utilizzato principalmente con Android, avresti molto più successo considerando il registro di sicurezza di tali dispositivi. (ma ovviamente, Google preferisce giocare con i beacon piuttosto che risolvere problemi più importanti come quello).

Una soluzione sarebbe quella di avere CA come nel mondo X509 in cui il software client che ascolta i beacon controlla la firma della trasmissione rispetto al suo trust store e per registrare un beacon dovresti ottenere un certificato da una CA che eseguirà la verifica su ciò che vuoi trasmettere (quindi Honest Joe non può creare un beacon chiamato Bank e trasmettere un link di phishing).

Contro gli attacchi di amplificazione della potenza di trasmissione i dispositivi client devono "eseguire il ping" dei beacon e osservare il tempo necessario per rispondere. Con questo puoi calcolare la distanza dal faro in base alla velocità della luce nell'aria. Puoi avere un segnale molto strong, ma se il faro è fisicamente lontano, ci vorrebbe ancora un tempo (relativamente) lungo per rispondere. Tuttavia, questo apre un altro problema, se i dispositivi client stanno eseguendo il ping dei beacon, quindi si verifica un problema di privacy perché ora i dispositivi client possono essere rilevati e tracciati.

score 0 · Answer 2

The list of URL's is ranked by signal strength.

Questo è vero solo per alcuni clienti, e nemmeno per la maggior parte. Il client Chrome e l'app prototipo di Physical Web prototype su GitHub ordinano entrambi per una stima della distanza, calcolata in base alla potenza del segnale e alla potenza TX. Il potere TX è ciò che il beacon afferma che la sua potenza di trasmissione è.

What's stopping someone from increasing the broadcasting strength of their beacons so that they rank first?

Considerate le note precedenti, la vera domanda è cosa impedisca a qualcuno di diminuire il potere TX dei propri fari in modo che si classificino per primi. Questo è qualcosa che abbiamo visto in natura. Attualmente non esiste una soluzione singola; come ho detto, diversi client Web fisici mostrano risultati con ordini diversi. Tuttavia, dato che in genere non ci sono molti fari intorno, anche nelle aree più dense, è atipico che ci si debba preoccupare di essere sotto la piega. Per fortuna, avremo un po 'di tempo per affrontare questo problema in quanto diventa più diffuso.

Si potrebbe immaginare che alla fine la classifica non sarà basata semplicemente su valori grezzi come una stima della distanza, ma su una combinazione di questi valori con altre metriche (impegno precedente, ecc.). A quel punto, pubblicizzare una distanza falsa farebbe solo male alla classifica di un faro: sembrerebbe un risultato scarso se non viene selezionato anche se molto vicino.