Ein Team von Sicherheitsexperten hat aufgedeckt, dass mobile Websites missbraucht werden können empfindliche Sensoren Daten lecken. Der Bericht mit dem Titel “Die sechste Web-Sense” zeigt die Auswirkungen auf den Datenschutz und wie genau kann dies durch böswillige Benutzer verwendet werden,.
Mobile Sites können Daten von Smartphone-Sensoren verfügbar machen
Mobile Websites können missbraucht werden, um Gerätebenutzer auf verschiedene Weise zu infizieren - gefährliche Webelemente, Viren-Download-Skripte und Cryptocurrency Miner, Ein neuer Bericht beleuchtet jedoch eine neue Strategie. Laut einem Team von Sicherheitsexperten und ihrem kürzlich veröffentlichten Artikel heißt es “Die sechste Web-Sense” Die Standorte können verwendet werden, um Sensordaten zu verlieren.
Die Webbrowser unter Android und iOS erfordern, dass die entsprechenden Berechtigungen für den Zugriff auf Sensordaten erteilt werden, Diese Funktion wird verwendet, um den Bildschirm zu drehen, wenn das Gerät gedreht wird, und zum Beispiel. Interessanter ist, dass Entwickler auch auf die Rohdaten der Sensoren zugreifen können. Dies stellt sich als problematischer Bereich heraus, da verschiedene Standorte diese Tatsache ausnutzen. Ein Blick nach oben 100 000 Websites, wie sie von Alexa eingestuft wurden, zeigen dies insgesamt 3695 von ihnen enthalten Websites Skripte, die in irgendeiner Weise “tippen” die Sensordaten.
Einer der beliebtesten Fälle ist der mit Google Maps Verwendung - Wenn es in einem Webbrowser-Fenster geöffnet wird, wird der Zugriff auf die Standortdaten angefordert. Wenn dies gewährt wird zusätzlich Ermöglichen, dass andere Sensordaten erfasst werden - Bewegung, Beleuchtung, Nähe und so weiter, für die es keinen spezifischen Mechanismus gibt, um Benutzer zu benachrichtigen oder nach ihrer Sammlung zu fragen. In Wirklichkeit ist ihre Sammlung für die Benutzer unsichtbar.
Böswillige Benutzer können solche Daten in verschiedenen Szenarien verwenden. Die Umgebungslichterkennung kann verwendet werden, um die Gewohnheiten beim Surfen im Internet zu überprüfen, während die Bewegungssensordaten die Eingabe der PIN-Nummer und andere Benutzeraktivitäten ableiten können. Die Forscher schließen in ihrer Arbeit, dass Hacker, wenn sie nicht behoben sind, auch andere Mechanismen entwickeln können. Sie sahen sich neun Browser an und analysierten, wie sie mit Sensordaten umgehen: Rand, Safari, Firefox, Mutig, Fokus, Chrom, UC Browser und Opera Mini. Die Daten zeigen, dass nur die mobile Version von Firefox zusätzliche Berechtigungen für den Zugriff auf die Licht- und Näherungssensoren anfordert. Interessanter ist die Tatsache, dass die meisten gängigen Tracking- und Werbeblocker die Skripte, die Sensordaten anfordern, nicht zuverlässig blockiert haben.
Weitere Informationen zum Thema finden Sie im Ganzen Papier-.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: