• Live chat
  • Facebook
  • Google Plus
  • rss

Adatlopás a telefonokba épített környezetifény-érzékelő használatával

×
×
Megjelent: 2017.05.29 Vissza

Ha azt hitted, hogy a telefonod adatai biztonságban vannak, könnyen lehet, hogy tévedsz!

Lukasz Olejnik biztonsági szakember szerint a környezetifény-érzékelő segítségével böngészési előzményeket, vagy egyéb adatokat lophatnak el. Ma már minden okostelefonban és egyre több laptopban, illetve televízióban találkozhatunk fénymérő szenzorral.

Azt viszont kevesen tudják, hogy a szenzor mennyire precíz: 100-200 milliszekundumonként méri a rá érkező fény mennyiségét, az érték pedig 0 (teljes sötétség) és több tízezer lux között változik.

A törekvés, hogy a weboldalak is hozzáférjenek a szenzor méréseihez lehetővé teszi a támadóknak, hogy visszaéljenek a kapott információkkal. Már tárgyalási szakaszban van a kezdeményezés miszerint a honlapoknak nem kell majd külön engedélyt kérniük a szenzor eléréséhez.

A Doclernet ugyanakkor mindent megtesz, hogy ügyfelei adatai maximális biztonságban legyenek!

Olejnik kísérletében rámutatott arra, hogy a nem kalkulálható változók miatt kicsi az esély, hogy valós körülmények között is megoldható legyen egy ilyen támadás. Mindenesetre laborkörülmények között működött. Javaslata szerint a precizitás csökkentése gyakorlatilag szinte lehetetlenné tenné a dolgot.

Az egyéb fényforrások zavarása mellett és a változók mennyisége miatt időigényes feladatról van szó. Egyszerű szöveg esetén 8 karakter felismeréséhez 24 másodperc szükséges, egy 20x20-as QR kódhoz 3 perc 20 másodperc kell, míg egy 64x64 pixeles kép már több mint fél óráig tartana.

Jelenleg a Firefox és a Chrome támogatja a fényszenzor alkalmazásinterfészét, előbbinél engedélyt sem kér a böngésző, míg a Chrome esetében ezt a felhasználónak külön engedélyeznie kell. Hamarosan új API érkezik, ez a kísérlet szempontjából ugyanúgy működik, mint a mostani.

A tanulmány végkövetkeztetése, hogy a szenzor olvasási gyakoriságát lényegesen csökkenteni kellene, illetve korlátozni a precizitását ahhoz, hogy elkerülhetők legyenek a támadások.

Ha a fentiek fényében aggódsz személyes adataidért, a Firefox konfigurációjában a "set device.sensors-enabled" értéket kell "false" beállításra változtatni, a Chrome esetében alapvetően nincs automatikusan engedélyezve a funkció. Megoldás lehet még másik böngészőre váltani is, amik nem hasznosítják a fényszenzor által begyűjtött információkat.

forrás: https://itcafe.hu/hir