6 мифов о безопасности и защите маячков iBeacon

Не один раз слышал мнение о том, что можно "цепляться" к чужим маячкам iBeacon (например, конкурирующих организаций в торговом центре) и выполнять свою логику - скажем, слать push с призывом посетить свой магазин, а не конкурента. Действительно, теоретически так сделать можно, хотя любое изменение настроек маячка сломает систему, т.к. вы не управляете процессом управления устройствами iBeacon. Мы перевели для вас статью, раскрывающую основные мифы относительно безопасности маячков. Вывод - не нужно бояться применять их для бизнеса, т.к. большая часть страхов беспочвенны.

Локальный push от маячка ibeacon

Для многих видов бизнеса, начиная с розничных магазинов и заканчивая парками развлечений, ресторанами и торговыми молами, одной из ключевых причин растущего интереса к технологии iBeacon является их ее возможность удовлетворять индивидуальные потребности клиентов путем предоставления персонифицированных и контекстных предложений и контента прямо на мобильные телефоны. Согласно последнему исследованию, проведенному американской компанией по изучению рынка «Research Now», 72% пользователей согласились с тем, что получение соответствующего предложения на мобильное устройство во время пребывания в магазине значительно влияет на принятие решения о покупке.Несмотря на все внимание со стороны сообщества передовых технологий популярность и массовое использование iBeacon все еще впереди, поскольку у розничного бизнеса имеется достаточно опасений относительно использования маячков. В то время как раскрытие персональных данных при пользовании кредитными карточками беспокоило ритейлеров в течение многих лет, обеспечение безопасности информации и конфиденциальности при использовании iBeacon –  сравнительно новая проблема. Среди множества злободневных вопросов по теме наиболее распространенным является именно этот: насколько же безопасны такие маячки? В этом посте мы попытаемся развеять несколько мифов, касающихся безопасности и неприкосновенности данных при использовании iBeacon- технологии.

Миф 1: Маячки направляют контекстуальные предложения

Вопреки распространенному мнению маячки не передают товарные предложения или другой контент. Они просто транслируют идентификаторы (энергосберегающие сигналы  (Bluetooth Low Energy)), которые могут приниматься мобильными устройствами. Такой идентификатор состоит из трех компонентов, и все вместе образуют уникальную неповторимость маячка. Это могут быть:

– Универсальный идентификатор или стандарт идентификации (UUID) - Это очень большое число, являющееся уникальным для каждой организации. Он выступает в роли своеобразной метки для маячков iBeacon, что исключает возможность противоречий с UUID другой компании. Таким образом, при широкомасштабном размещении маячков мобильное приложение конкретной организации будет запрограммировано на обнаружение только своих маячков, игнорирую все остальные.

– Технологическое устройство (Главный номер) - Это номер, используемый для указания соответствующего комплекта маячков. К примеру, в случае розничных магазинов все маячки в конкретном магазине совместно используют один и тот же главный номер (технологическое  устройство).

– и Вспомогательный номер устройства - Этот номер используется для указания конкретного маячка, расположенного в заданном месте. К примеру, для случая розничного магазина, маячки размещенные в различных отделах, будут иметь разные вспомогательные номера.

Теперь, если на мобильном устройстве потребителя установлено приложение для приема конкретного сигнала идентификатора (ID), оно запускает набор таких действий, как отправка уведомления, открытие определенного раздела приложения или точное определение местонахождения потребителя и управления его движением в направлении разыскиваемого продукта. При отсутствии мобильного приложения никаких действий осуществляться не будет. Цель маячка iBeacon – предоставлять покупателям необходимую в данный момент информацию, основываясь на анализе имеющихся данных.

Миф 2:  Любой маячок можно легко взломать

Согласен, что, решения, основанные Bluetooth Low Energy, связаны с огромным количеством рисков, таких как ненадежность используемых мобильных устройств,  имитация соединений (спуфинг) и подключение третьих лиц с целью вмешательства в связь. Так же, невзирая на то, что  индивидуальные идентификаторы (UUID) однозначно определены  для каждой организации, они никоим образом не обеспечивают безопасность  вблизи маячков. Каждый, у кого имеется приложение bluetooth или устройство для поиска bluetooth, может легко обнаруживать идентификаторы. Тем не менее, это не делает маячки небезопасными, а лишь указывает на неактуальную в данном случае озабоченность безопасностью.

Например, команда из «Make magazine», взломала  CES Scavenger Hunt - приложение  на основе iBeacon, предназначенное для рассылки предложений принять участие в мероприятии на месте его проведения. Пресса была шокирована: взломщикам удалось закончить задуманное еще до начала мероприятия, и более того, они смогли проделать все это дистанционно, даже не находясь на площадке! На первый взгляд это кажется «подвигом», однако взломать систему было бы довольно просто. Файл приложения не был закодирован, таким образом было несложно определить ID-номера маячков на месте установки и «обмануть» их.

Следовательно, когда дело доходит до разработки решений «ближнего радиуса», следует предусмотреть механизм защиты от стандартных рисков. Также важно, чтобы внедряемый механизм защиты подходил для используемого приложения. Если находящиеся под угрозой ресурсы или данные  минимальны, можно выбрать модель минимальной защиты. Например, в случае с приложением CES Scavenger Hunt компания, предоставившая технологию для поддержки маячков, использовала файл регистрации сетевых событий для подтверждения достижений игроков на основе времени и места нахождения для обеспечения честности игры экономически эффективным способом. С другой стороны, при наличии данных, представляющих ценность, вам определенно следует выбрать модель обеспечения безопасности, отвечающую жестким требованиям.

Миф 3: Маячки могут собирать информацию о пользователях без их разрешения

Маячки не способны отслеживать потребителя до тех пор, пока потребитель не активирует сервис геолокации на своем мобильном устройстве. Более того, для получения доступа к информации каждое приложение запрашивает разрешение пользователя. Следовательно, при использовании iBeacon пользователи могут управлять конфиденциальностью своих данных путем разрешения доступа или отказа в доступе конкретному приложению

Миф 4: UUID применяется для защиты ценных ресурсов или средств

Как уже упоминалось ранее, UUID – уникальные идентификаторы каждой организации, они никак не влияют на обеспечение безопасности маячков. И применяться они должны не в качестве ключей для взлома ресурсов, а как одна из нескольких других базовых точек, помогающих с большой точностью определять удаленность и расположение. Таким образом, во избежание передачи данных на «обманные» маячки очень важно, чтобы ваше приложение сверяло передаваемые с маячка сигналы с другой информацией, например, с данными о  GPS -расположении или локальной сети Wi-Fi. Подобные меры позволят вам оптимизировать взаимодействие с пользователем путем обнаружения микро-локаций, используя маячки.

Миф 5: Маячки имеют доступ к информации о широте и долготе

Маячки способны передавать идентификаторы самостоятельно. Но только мобильное приложение способно транслировать идентификаторы маячка в географическое местоположение, определяемое по широте и долготе с помощью картографической базы данных или на основе GPS-технологии.

Миф 6: Маячки позволяют мобильным устройствам узнавать близлежащие устройства

Функционирование маячков основано на протоколе, позволяющем им передавать идентификаторы, которые могут быть получены находящимися поблизости мобильными устройствами. Тот же протокол не позволяет мобильным устройствам узнавать или обнаруживать другие устройства в ближайшем радиусе.

Критерии оценки безопасности маячка

Замена идентификаторов в передатчике маячка на идентификаторы маячка конкурента может сделать его потенциальным рекламным источником для вашего конкурента. Следовательно, чрезвычайно важно избегать неавторизованного допуска. Ниже приводится перечень критериев, которым маячок должен соответствовать для предотвращения несанкционированного доступа.

1. Наличие механизма обнаружения попыток несанкционированной авторизации

Когда дело касается изменения настроек маячка, проверка полномочий крайне важна. Следовательно,  просто затруднить подключение к маячку для изменения настроек недостаточно. Необходимо установить сложный пароль из достаточного количества символов, подобрать который невозможно. Вдобавок к этому можно защитить пароль от взлома, установив механизм обнаружения попыток несанкционированной авторизации и более длительные периоды времени между такими попытками

2. Каждый маячок iBeacon должен иметь уникальный пароль Для предотвращения компрометации безопасности не следует назначать один и тот же пароль разным маячкам iBeacon. Следует также помнить о том, что использовать для маячков предустановленные изготовителем пароли «по умолчанию» не рекомендуется.

3. Регулярно кодировать главные и вспомогательные номера (информационное наполнение) Одним из лучших способов воспрепятствовать воспроизведению главного и вспомогательного номеров является их многократное шифрование на регулярной основе. Кроме того, когда дело касается передовых технологий iBeacon, вам потребуется программная платформа на уровне предприятия для одновременного изменения значения UUID вместе с информационным наполнением пакета.

4. Обеспечение механизма обновлений Для обеспечения безопасности маячков вы должны установить механизм, своевременно посылающий обновления программно-аппаратного обеспечении и уведомлении о защищенности. Более того, маячки должны иметь возможность обновлять ПО самостоятельно.

Поделиться:
1202
Комментарии
Подписаться на канал
Наверх