Пользуясь разными приложениями или сайтами, большинство людей стараются не предоставлять разрешения на доступ к своему местоположению. Но что, если приложение/сайт сможет экстраполировать место вашего нахождения, даже не нуждаясь в этих разрешениях?
Потенциально это уже происходит как на Android, так и на iOS устройствах, и группа исследователей безопасности продемонстрировала, что для некоторых браузеров, а также приложений, считывание датчиков движения разрешено по умолчанию. Это, в свою очередь, позволяет собирать компрометирующие пользователя данные.
В конце прошлого месяца исследователи из Mysk опубликовали в Твиттере обращение, рассказав, что Chrome по умолчанию предоставляет данные с датчиков движения всем сайтам, которые посещает пользователь. Более того, выяснилось, что Microsoft Edge на Android имеет аналогичный набор разрешений. На первый взгляд это может не показаться чем-то серьезным, но на деле здесь есть тревожные подоплеки.
В блоге Mysk более развернуто разъясняются возможные сценарии применения функции акселерометра. Обычно он служит для ориентации устройства, в качестве шагомера, детектора скорости и прочего. Однако его также можно задействовать и в злонамеренных целях, например для выяснения точного расположения пользователя.
Рассмотрите такой сценарий. Вы сели в автобус по пути на работу и открыли приложение привычной социальной сети, которой ввиду осторожности не доверили разрешение на отслеживание своего местоположения. Тем не менее, в активном состоянии это приложение имеет свободный доступ к акселерометру, через который вполне может считать вибрационный паттерн окружающей среды. Автобус едет, и на очередной остановке в него заходит другой пассажир, который садится рядом с вами и открывает то же приложение, вот только он ему доверяет и данные GPS сделал доступными.
В результате это приложение потенциально может считать данные акселерометра с обоих ваших устройств и определить, что они испытывают одинаковые вибрационные паттерны (автобус трогается/останавливается, поворачивает и пр.), а значит находятся в одной среде, то есть в одном месте. Теперь приложение знает и ваше местоположение тоже. Не удивляйтесь, если оно еще и предложит этого подсевшего соседа вам в друзья.
Ключевые настройки Android, с которыми вам будет интересно познакомиться
Чтобы исключить подобную возможность, вы можете ознакомиться с предложенной в твите видео-инструкцией по отключению в Chrome разрешений доступа к датчику движения на устройствах с iOS. Для тех же, кто использует браузер Edge на Android, этот процесс аналогичен и отражен на скриншотах выше.
Что касается iOS 15, то здесь доступ к акселерометру открыт для всех приложений, и с помощью грамотного алгоритма собранную информацию может получить любое из них.
Причем это еще не все. В качестве дополнения отмечу, что исследователям также удалось с помощью акселерометра считать вибрации динамика телефона и на их основе воссоздать речь собеседника – впечатляет?
Основное правило информационной безопасности гласит, что личные данные должны быть защищены, а значит, и доступ к акселерометру тоже нужно защитить.