Скачать бесплатные шаблоны Joomla

Мобильный телефон может показывать ваше местоположение

Американские военные чиновники недавно были застигнуты врасплох откровениями о том, что цифровые фитнес-трекеры военнослужащих хранили места своих тренировок, в том числе на военных базах и подпольных объектах или вблизи них.

Но эта угроза не ограничивается Fitbits и аналогичными устройствами. Недавние исследования нашей группы показали, как мобильные телефоны могут отслеживать своих пользователей через магазины и города и по всему миру - даже когда пользователи отключают службы отслеживания местоположения своих телефонов.

Уязвимость исходит от широкого спектра сенсорных телефонов, оснащенных не только GPS и коммуникационными интерфейсами, но и гироскопов и акселерометров, которые могут определить, удерживается ли телефон в вертикальном положении или на его стороне, и также может измерять другие движения. Приложения на телефоне могут использовать эти датчики для выполнения задач, которые пользователи не ожидают - например, после того, как пользователь движется по очереди по улицам города.

Большинство людей ожидают, что отключение услуг своего телефона по отключению отключит это мобильное наблюдение. Но исследование, которое я проводил с моими коллегами Сашанком Нарайном , Тритом Во-Хуу , Кеном Блоком и Амирали Санатиния в Северо-Восточном университете, в области, называемой « побочные атаки », раскрывает способы, которыми приложения могут избежать или избежать этих ограничений. Мы рассказали, как телефон может прослушивать ввод пальцем пользователя, чтобы открыть секретный пароль, - и как просто носить телефон в кармане можно рассказать компаниям данных, где вы находитесь и куда идете.

При разработке защиты для устройства или системы люди делают предположения о том, какие угрозы будут возникать. Автомобили, например, предназначены для защиты своих пассажиров от аварий с другими автомобилями, зданиями, ограждениями, телефонными столбами и другими объектами, обычно встречающимися на дорогах или вблизи них. Они не предназначены для того, чтобы держать людей в безопасности на машинах, сбитых с утеса или разбитых огромными камнями, упавшими на них. Это не экономически выгодно для защиты от этих угроз, поскольку они считаются крайне необычными.

Аналогичным образом, люди, разрабатывающие программное обеспечение и аппаратные средства, делают предположения о том, что могут сделать хакеры. Но это не значит, что устройства безопасны. Одна из первых атак бокового канала была идентифицирована еще в 1996 году криптографом Полом Кохером, который показал, что он может сломать популярные и предположительно защищенные криптосистемы, тщательно подсчитав, сколько времени понадобилось компьютеру для дешифрования зашифрованного сообщения. Разработчики криптосистемы не представляли, что злоумышленник будет использовать этот подход, поэтому их система была уязвима для него.

На протяжении многих лет было много других применений, использующих всевозможные подходы. Недавние уязвимости Meltdown и Spectre, которые используют недостатки дизайна в компьютерных процессорах, также являются побочными атаками. Они позволяют вредоносным приложениям отслеживать данные других приложений в памяти компьютера.

Мониторинг на ходу

Мобильные устройства - идеальные цели для такого рода нападений с неожиданного направления. Они снабжены датчиками , обычно включающими по крайней мере один акселерометр, гироскоп, магнитометр, барометр, до четырех микрофонов, одну или две камеры, термометр, шагомер, датчик освещенности и датчик влажности.


Приложения могут обращаться к большинству этих датчиков, не запрашивая разрешения у пользователя. И, комбинируя показания с двух или более устройств, часто можно делать то, чего не могут ожидать пользователи, дизайнеры телефонов и разработчики приложений.

В одном из последних проектов мы разработали приложение, которое могло бы определять, какие буквы пользователь вводил на экранную клавиатуру мобильного телефона - без чтения ввода с клавиатуры. Скорее, мы объединили информацию с гироскопа телефона и его микрофонов.

Когда пользователь нажимает на экран в разных местах, сам телефон слегка вращается таким образом, который может быть измерен трехосевыми микромеханическими гироскопами, обнаруженными в большинстве современных телефонов. Кроме того, нажатие на экране телефона создает звук, который может быть записан на каждом из нескольких микрофонов телефона. Кран близко к центру экрана не будет сильно перемещать телефон, одновременно достигнет обоих микрофонов и будет звучать примерно одинаково для всех микрофонов. Тем не менее, кратковременный щелчок в левом нижнем углу экрана повернет телефон влево и вправо; он быстрее достигнет левого микрофона; и он будет звучать громче микрофонов в нижней части экрана и тише на микрофоны в другом месте устройства.

Обработка данных движения и звука позволяет нам определить, какой ключ нажал пользователь, и мы были правы более 90 процентов времени. Такая функция может быть добавлена ​​тайно в любое приложение и может незаметно запускаться пользователем.

Определение местоположения

Затем мы задавались вопросом, может ли вредоносное приложение определить местонахождение пользователя, в том числе, где они жили и работали, и какие маршруты они путешествовали - информация, которую большинство людей считает очень конфиденциальной.

Мы хотели выяснить, можно ли определить местоположение пользователя, используя только датчики, которые не требуют разрешения пользователей. Например, маршрут, сделанный водителем, может быть упрощен в ряд поворотов, каждый в определенном направлении и под определенным углом. В другом приложении мы использовали компас телефона, чтобы наблюдать за направлением движения человека. Это приложение также использовало гироскоп телефона, измеряя последовательность углов поворота маршрута, пройденного пользователем. А акселерометр показывал, остановлен ли пользователь или движется.

Измеряя последовательность поворотов и объединяя их вместе, когда человек путешествует, мы можем составить карту их движений. (В нашей работе мы знали, в каком городе мы отслеживаем людей, но подобный подход можно использовать, чтобы выяснить, в каком городе был человек.)

Представьте себе, что мы наблюдаем человека в Бостоне, направляющегося на юго-запад , поворачиваясь на 100 градусов вправо, делая резкий разворот влево, чтобы возглавить юго-восток, слегка поворачиваясь вправо, продолжая прямо, затем следуя по мелкой кривой влево, быстро пробегайте направо, набирая вверх и вниз больше, чем обычно, на дороге, поворачивая на 55 градусов вправо и поворачивая на 97 градусов влево, а затем делая небольшую кривую прямо перед остановкой.

Мы разработали алгоритм для сопоставления этих движений против оцифрованной карты улиц города, в котором находился пользователь, и определили, какие из них наиболее вероятные маршруты, которые может принять человек. Эти движения могли идентифицировать маршрут, направляющийся из парка Фенвей, вдоль задних заливов, мимо Музея изящных искусств и прибытия в Северо-Восточный университет.

Мы даже смогли уточнить наш алгоритм, чтобы включить информацию о кривых в дорогах и ограничениях скорости, чтобы помочь сократить варианты. Мы подготовили наши результаты как список возможных путей, оцениваемых по тому, насколько вероятен алгоритм, согласно которому они должны соответствовать фактическому маршруту. Примерно в половине случаев, в большинстве городов, которые мы пробовали, реальный путь, которым пользовался пользователь, был в числе 10 лучших в списке. Дальнейшее уточнение данных карты, показаний датчиков и алгоритма сопоставления могут существенно улучшить нашу точность. Опять же, этот тип возможностей может быть добавлен в любое приложение вредоносным разработчиком, позволяя невиновным приложениям отслеживать своих пользователей.

Наша исследовательская группа продолжает исследовать, как атаки побочных каналов могут использоваться для выявления разнообразной частной информации. Например, измерение того, как движется телефон, когда идет его владелец, может указать, сколько лет человек, будь то мужчина (с телефоном в кармане) или женщина (обычно с телефоном в кошельке) или даже информация о здоровье насколько устойчив человек на ногах или как часто она спотыкается. Мы предполагаем, что ваш телефон может рассказать об отслеживании, и мы надеемся узнать, что и как защитить от такого рода шпионажа.

Добавить комментарий


Защитный код
Обновить