Эксперт: Хакеры могут использовать Web Audio API для снятия цифрового отпечатка

    image

    Специалист в области кибербезопасности Сэмюэл Уилер, который сотрудничает с MIT CSAIL и W3C Privacy Interest Group, снова поднял вопрос скрытых угроз со стороны Web Audio API, предназначенного для управления аудиоконтентом прямо в браузере. Он считает, что злоумышленники могут использовать API для несанкционированной передачи ультразвука.

    По мнению Уилера, Web Audio API может передавать с компьютера жертвы звуковые сигналы, которые не способен распознавать человек. Между тем эти аудиосигналы можно использовать для снятия цифрового отпечатка устройства. По мнению эксперта, интерфейс Web Audio API нужно ограничить, чтобы его нельзя было использовать для генерации или прослушивания ультразвуковых сигналов без разрешения. Он предположил, что пользователям может быть явно предложено включить использование API Web Audio.

    Опасения Уилера разделяет и Питер Снайдер, исследователь конфиденциальности в Brave software и сопредседатель PING. По его словам, подобные методы можно применять «для междоменного отслеживания; сайты могут передавать ультразвук другим открытым страницам, что позволит осуществлять межсайтовое отслеживание, от которого Brave и другие браузеры, ориентированные на конфиденциальность, пытаются защитить пользователей». В Brave уже добавили рандомизацию в различные API-интерфейсы Web Audio, чтобы уменьшить вероятность снятия цифрового отпечатка в браузере.

    Межде тем разработчик Google Реймонд Той уверен, что можно позволить специалистам работать исключительно с одной частотой дискретизации.

    Некоторые разработчики же полагают, что ограничение доступной частоты может спровоцировать сдвиг фаз или задержку, и что нет разумного нижнего или верхнего порога, подходящего для всех.

    На эту проблему передачи звука ИБ-специалисты обращали внимание уже неоднократно.

    Люди способны слышать звуковые частоты в диапазоне от 20 Гц до 20 000 Гц, хотя индивидуальные диапазоны различаются. Звуковые частоты ниже и выше порога человеческого слуха известны как инфразвук и ультразвук. Несколько лет назад компании, занимающиеся цифровой рекламой, начали использовать ультразвуковые сигналы для отслеживания интересов людей на разных устройствах. Если, к примеру, телевизионная реклама испускает скрытый неслышимый сигнал, находящийся рядом с телевизором смартфон может принять его и передать в приложение, которое обновляет информацию о таргетируемом владельце устройства данными его просмотров.

    Американская торговая инспекция в 2016 году предупредила о недопустимости такого отслеживания. Позднее вышло исследование, которое подтвердило, что 234 приложения для Android скрытно прослушивали ультразвуковые маяки. Подобное скрытое отслеживание запретили.

    Но и сегодня исследователи компьютерной безопасности продолжают находить новые способы использования ультразвука для эксфильтрации данных. Его применяют и для законных операций — например, приложение Google Cast использует ультразвуковой токен при сопряжении с соседним Chromecast.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 7

      0
      Если, к примеру, телевизионная реклама испускает скрытый неслышимый сигнал, находящийся рядом с телевизором смартфон может принять его и передать в приложение, которое обновляет информацию о таргетируемом владельце устройства данными его просмотров

      Кто-то понимает, зачем так сложно? Почему просто не работать, как шазам, сравнивая сэмплы слышимого звука между известными сэмплами рекламных роликов и записанного микрофоном?

        0
        В ультразвуке просто бинарная последовательность. Можно сразу на телефоне сказать что это было. Распознавать же дорожку на телефоне не выйдет, придётся каждый раз отсылать данные на сервер — это большое палево.
          0

          А постоянно слушать это не палево?

            0
            просто менее заметно
              0

              Ещё как заметно. Даже android сообщает что какое то там приложение использует микрофон в фоне.

                0
                Приложение даже может попросить пачку прав, включая микрофон… и большинство их подтвердит. Но вот постоянная отправка данных (не у всех безлимитные тарифы) может достаточно заметно проявится в расходе средств.

                  0
                  Слава богу, что щас начали спрашивать дать права для работы в фоне или нет.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое