AKUN OMINAISUUKSIA VOIDAAN SEURATA WEB-KÄYTTÄJIEN - TECHCRUNCH - ANDROID - 2019

Anonim

Eurooppalaisten tietoturva-tutkijoiden tiimi on julkaissut paperin, jossa analysoidaan, miten mobiililaitteiden akun käyttöikää voidaan käyttää WWW-selaustoimintojen seuraamiseen Linuxissa Linuxissa HTML5-akun tila-API: n avulla (The Guardianin kautta).

Firefox on vahvistanut tämän vuoden kesäkuussa vahvistamansa erityismenetelmän, kun he antoivat vikaraportin, jossa osoitettiin epäjohdonmukaisuuksia sen lataamisessa eri tasoilla eri tasoilla.

Lehti vuotanut paristo: HTML5-akun tilan tila-API- tietosuojaan liittyvä artikkeli huomauttaa myös tietosuojalausunnosta, jonka avulla sivustot voivat tarkistaa käyttäjien akun tilan ilman, että heillä olisi oltava lupa tehdä niin.

Tutkijat kirjoittavat:

Sovellusliittymä ei vaadi käyttäjän lupaa lukea akun tietoja, mitään verkkosivustoja tai niihin sisältyviä kolmannen osapuolen komentosarjoja, voi käyttää API: ta. Sovellusliittymä ei myöskään vaadi selaimia ilmoittamaan käyttäjille, kun akun tietoja käsitellään. Tämä sallii verkkosivuston ja kolmannen osapuolen komentosarjat pääsevät akun tietoihin läpinäkyvästi - ilman käyttäjien tietoisuutta.

Akun API-sovelluksen tavoitteena on sallia verkkosivustojen siirtyminen automaattisesti suuritehoisista energiansäästöversioihin, jos ne havaitsevat käyttäjän tarvitse säästää akkua. Tutkijat kuitenkin huomasivat, että Firefoxin GNU / Linuxin käyttötapa oli ongelmallinen, joten API: n tarjoamat "näennäisesti harmittomat tiedot" toimisivat seuranta-tunnuksena (eli "uuden laitteen sormenjälkitekstivektorin") - potentiaalisesti jolloin verkkosivustot voivat seurata selaustoimintaa eri istuntojen, kuten yksityisten selaustilojen tai evästeiden tyhjentämisen jälkeen.

Firefoxin erityiskysymys keskittyi tarkkuuteen, jolla se seurasi akun käyttöikää Linuxissa - lukemalla 64-bittisen kaksinkertaisen tarkkuuden liukulukuformaatin ja multiplin (ying) arvon arvolla 0, 01 akun varaustason saavuttamiseksi. Tämä kaksinkertainen tarkkuusarvo paljastettiin sitten verkkosivuston komentosarjoille Battery Status -liittymän kautta. Se antoi rakeisen toimenpiteen, jota he väittivät voivansa käyttää yksittäisen mobiililaitteen tunnistamiseen, kuten älypuhelimeen tai kannettavaan tietokoneeseen.

Tämä ongelma rajoittui Firefox-selaimeen GNU / Linuxissa. Akun taso altistuu Firefoxille Windowsissa, Mac OS X: ssä ja Androidissa, jotka ovat paljon vähemmän tarkkoja tutkijoiden mukaan.

He huomaavat:

Akun tilan sovellusliittymän implementaatiotutkimuksessamme havaitsimme, että Firefox-selainn ilmoittama akun taso on esitetty GNU / Linuxissa Web-komentosarjoille kaksinkertaisella tarkkuudella. Esimerkkitapauksessa havaittu akun tasoarvo oli 0, 9301929625425652. Olemme huomanneet, että Firefoxissa ilmoittamassa akun tasossa on vain kaksi merkitsevää numeroa (esim. 0, 32) Windows, Mac OS X ja Android.

Linuxissa Firefox lukee akkutason tiedot Linux-työkalulla nimeltä UPower - joka lopulta oli tämän entistä kattavamman voimaohjauksen lähde.

Piirrä, miten seurantaohjelmisto voisi käyttää akun tietoja, he kirjoittavat:

Kolmannen osapuolen komentosarja, joka esiintyy useilla verkkosivustoilla, voi linkittää käyttäjien käyntikortit lyhyessä ajassa hyödyntämällä verkko-komentotiedostoille toimitettuja akustietoja. Tätä varten skriptit voivat käyttää akun varaustason, latausajan ja latausajan arvoja. Lukemat ovat johdonmukaisia ​​kussakin sivustossa, koska päivitysvärit (ja niiden ajat) ovat samanlaisia. Tämä voi mahdollistaa kolmannen osapuolen komentosarjan liittää nämä samanaikaiset vierailut. Lisäksi, jos käyttäjä poistuu näistä sivustoista, mutta silloin, pian sen jälkeen, vierailee toisella sivustolla samalla kolmannen osapuolen käsikirjoituksella, lukemaa käytettiin todennäköisesti käyttämään nykyisen vierailun yhdistämistä edellisiin.

Akun tasoon perustuvien sormenjälkitekniikoiden lisäksi tutkijat ehdottavat, että akun kapasiteettia voidaan käyttää myös seurantavektoreina - huomauttaen, että Battery Status -liittymää voidaan käyttää "selvittämään laitteen nykyinen akkukapasiteetti (EnergyFull), jos se sallii korkean tarkkuustasojen lukemat. " Jälleen huomaavat, että tämä menetelmä toimi UPowerille ja Firefoxille vain Linuxissa.

Tutkijat sanovat, että sovellusliittymän käyttöönoton tulisi välttää korkeiden tarkkuusarvojen tarjoaminen - akun varaustason pyöristäminen on yksi tapa minimoida tällaisten tunnistemerkkien paljastaminen.

He päättelevät:

Web-standardien, sovellusrajapintojen ja niiden toteutusten analyysi voi paljastaa odottamattomia Web-tietosuojaongelmia tutkimalla Web-sivuille alttiita tietoja. Uusien Web-sovellusliittymien monimutkaisuus ja huomattava luonne sekä niiden syvempi integrointi laitteisiin vaikeuttavat tällaisten uhkien torjumista. Tietosuojavastaavat ja insinöörit voivat auttaa näiden API-sovellusten asettamien riskien ratkaisemisessa analysoimalla standardeja ja niiden toteutuksia niiden vaikutuksesta Web-yksityisyyteen ja seurantaan. Tämä voi tarjota toimivan palautteen API-suunnittelijoille ja selaimen valmistajille, mutta voi myös parantaa avoimuutta näiden uusien tekniikoiden ympärillä.

Paperissa tutkijat viittaavat myös siihen liittyvään tutkimukseen, joka koskee selaimen sormenjälkitekniikoita - kuten Panopticlick -tutkimus, joka osoitti, miten selaimen ominaisuuksia (kuten näytön kokoa, fonttiluetteloita ja laajennuksia) voidaan käyttää sormenjäljenäyttäjiin; tai tutkijat, jotka ovat osoittaneet jäljitysmenetelmiä käyttäessään muita ominaisuuksia, kuten kellon vinoutta, kirjasinmittareita, verkkoprotokollan ominaisuuksia, JavaScript-moottorin suorituskykyä tai WebGL: ää ja kangasta.

Viime kuun lopussa tietoturva tutkijat osoittivat myös, miten tekniikkaa, joka kerää käyttäjien näppäilyjä - ja analysoi niiden kirjoitustyyliä - voitaisiin käyttää profiilin ja paljastamisen anonyymin Tor-selaimen käyttäjille.