Комментарии 20
Хм, Firefox-то даже заряд батарейки перестал отдавать JS скриптам, чтобы не помогать в деанонимизации, а тут полный фарш датчиков, причём даже неактивной вкладке, ужас какой. Разработчиками мобильных браузеров есть повод задуматься, зачем всё это отдавать сайтам (сам не видел сайтов, которые действительно требуют эту информацию для нормальной работы).
Простые сайты, вероятно никогда и не потребуют. А вот для некоторых веб-приложений эти датчики могут быть полезны.
Нужно запрос выдавать на использование таких данных. На компьютерах это вроде бы реализовано, не понятно, зачем на мобильных устройствах действовать по-другому.
Да есть такие сайты, у Йоты, например, наверняка сталкивались: просит повернуть вертикально, иначе не работает.
Эх, и вовремя у меня в смарте соответствующий датчик сдох. В пятницу внезапно сдох, а сегодня — эта новость.
Совершенно логичное продолжение «html applications». Если мы можем сделать что-то напоминающее десктопное приложение с помощью html + js, то мы можем сделать что-то напоминающее десктопный кейлоггер с помощью html + js.
Я немного скучаю по временам, когда веб был ламповый, 1.0, а худшее, что можно было потерять, отключив JS в браузере, это снежинки, летающие за курсором.
Я немного скучаю по временам, когда веб был ламповый, 1.0, а худшее, что можно было потерять, отключив JS в браузере, это снежинки, летающие за курсором.
хоть какая то польза от трясущихся рук
Простите за возможно глупый вопрос, но я не могу придумать ни одного сценария, при котором этой уязвимостью имело бы смысл пользоваться. Почему бы зловредному скрипту просто не взять введенные данные из поля?
пин разблокировки телефона, пароль на адрессную книгу
пин к мобильному банку
пин к мобильному банкуЭто тот который каждый раз разный?
Я знаю не один банк в котором он одинаковый для мобильного приложения, оно просто не запускается без его ввода.
Таргетированная атака проводится в разы, если не на порядок, проще и быстрее.
Как вариант, создаем точку доступа без пароля, многие смартфоны любят такую халяву и с радостью соединяются. Так же на точке настроен либо снифер трафика, либо какой-либо другой вариант заставить перейти на подконтрольный веб-сервер, смотрим логи веб-сервера и выдаем (на другом устройтве) заранее собранную информацию на этот смартфон по цифровому отпечатку.
Как вы получите в свои руки заблокированный телефон?Вариантов много, начиная от «владелец отошел на пару минут и забыл телефон», заканчивая кражей, либо заливкой владельца ликеро-водочным.
Как вы узнаете что данный пин именно от него?
Как вариант, создаем точку доступа без пароля, многие смартфоны любят такую халяву и с радостью соединяются. Так же на точке настроен либо снифер трафика, либо какой-либо другой вариант заставить перейти на подконтрольный веб-сервер, смотрим логи веб-сервера и выдаем (на другом устройтве) заранее собранную информацию на этот смартфон по цифровому отпечатку.
Из будущих рекомендаций производителей:… прижали смартфон жёстко к горизонтальной поверхности и мягкими нажатиями подушечками пальцев, аккуратненько вводим пин код, не допуская сотрясений и резких движений.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Разработан скрипт для кражи ПИН-кода через браузер смартфона