研究人員發(fā)現(xiàn)�,傾斜,滑動(dòng)傳感器可以跟蹤移動(dòng)用戶 遠(yuǎn)程控制軟件,遠(yuǎn)控
美國(guó)的一個(gè)研究小組發(fā)現(xiàn)�����,攻擊者可以利用智能手機(jī)和平板電腦的“傾斜”和“刷卡”運(yùn)動(dòng)傳感器不能阻止偷偷跟蹤用戶。
1.png (402.54 KB, 下載次數(shù): 436)
下載附件
2014-5-7 10:34 上傳
他們的發(fā)現(xiàn)已被其他行業(yè)專(zhuān)家的支持�,誰(shuí)同意��,這將打開(kāi)一個(gè)新的攻擊技術(shù)對(duì)移動(dòng)設(shè)備用戶���。 伊利諾伊大學(xué)的LED小組測(cè)試了超過(guò)100加速度計(jì)的運(yùn)動(dòng)檢測(cè)器芯片�����,包括80單個(gè)芯片中采用的最新的智能手機(jī)和平板電腦如三星Galaxy S III和Kindle Fire��,隨著25款A(yù)ndroid手機(jī)在五范圍-Nexus One���,Nexus S,三星Galaxy Nexus���,三星Galaxy S3和HTC難以置信的兩–和兩片��,HTC MyTouch���,三星的Galaxy Tab 2��。遠(yuǎn)控軟件 他們?cè)谛酒C是用于屏幕旋轉(zhuǎn)發(fā)現(xiàn)微小的制造缺陷��,識(shí)別用戶的手勢(shì)�,并應(yīng)用像運(yùn)動(dòng)使游戲或體質(zhì)監(jiān)測(cè)-產(chǎn)生相同的運(yùn)動(dòng)的不同反應(yīng)�����。這提供了一個(gè)獨(dú)一無(wú)二的“指紋”為每個(gè)裝置即使在“真實(shí)的��,不受控制的環(huán)境”���。遠(yuǎn)程控制 研究人員調(diào)查了超過(guò)5000個(gè)傳感器跟蹤和記錄百分之96的成功率在識(shí)別芯片和器件�����。 “作為標(biāo)準(zhǔn)組件在智能手機(jī)和平板電腦��,加速度計(jì)的指紋在移動(dòng)應(yīng)用程序創(chuàng)建新的威脅沒(méi)有餅干或設(shè)備ID跟蹤用戶���,”他們總結(jié)道。 研究人員說(shuō)�,主要的威脅來(lái)自于廣告商。有超過(guò)700000個(gè)應(yīng)用程序����,在谷歌游戲和應(yīng)用程序商店�,他們中的大多數(shù)人提供了免費(fèi)的廣告���,廣告商跟蹤用戶和他們的上網(wǎng)習(xí)慣�����,構(gòu)成對(duì)隱私的威脅。 免殺遠(yuǎn)控�����,美國(guó)和歐洲法律最近的變化下����,廣告商可以不再使用cookies來(lái)做到這一點(diǎn),但這一新技術(shù)提供了“餅干少的方法來(lái)識(shí)別設(shè)備”���,研究人員承認(rèn)��,他們還沒(méi)有找到一個(gè)方法來(lái)解決它��。 “一個(gè)加速度計(jì)的指紋可以作為一個(gè)電子的餅干�,讓對(duì)手合并數(shù)據(jù)的每個(gè)用戶,和跟蹤它們隨著時(shí)間和空間�����。令人擔(dān)憂的是���,這種餅干很難抹去��,除非加速度計(jì)的磨損����,其指紋變得不一致的程度�。我們沒(méi)有發(fā)現(xiàn)任何證據(jù)表明本試驗(yàn)中九個(gè)月,107個(gè)加速度計(jì)�������! “我們?cè)噲D擦去指紋(不影響高層次的功能�,如步數(shù))不符合立即獲得成功�! 分析發(fā)現(xiàn),智能手機(jī)專(zhuān)家Rob米勒�����,在水利部信息安全,安全顧問(wèn)�����,認(rèn)為阻斷這種攻擊會(huì)很困難��。 他告訴scmagazineuk.com通過(guò)電子郵件說(shuō)����,“防止攻擊基本還沒(méi)有安裝應(yīng)用程序的用戶�,尤其是那些廣告圖書(shū)館為不明顯的從谷歌玩商店應(yīng)用的這種行為。灰鴿子使用教程 “這將需要在操作系統(tǒng)級(jí)別的阻止�����,這將為谷歌����、蘋(píng)果、微軟做很困難�。” 他補(bǔ)充說(shuō)���,用戶可以防止通過(guò)先進(jìn)的行為如生根的設(shè)備和使用自定義的軟件”���,但這是先進(jìn)的行為��,不可能有一個(gè)偉大的利益”�����。 帕克希望�����,首席顧問(wèn)與軟件安全咨詢公司負(fù)責(zé)���,說(shuō),“看起來(lái)合法的和有趣的研究�。 “有不同的方法來(lái)識(shí)別裝置很多。該運(yùn)動(dòng)傳感器是特別有趣���,因?yàn)�,此刻�,他們不需要特殊的?quán)限。我們看到同樣的事情與IMEI號(hào)碼幾年前。蘋(píng)果公司的反應(yīng)是防止應(yīng)用程序訪問(wèn)的價(jià)值完全�。灰鴿子下載 “在這種情況下,正確的答案可能是類(lèi)似的:應(yīng)用對(duì)策來(lái)anonymise傳感器的簽名��。我們可以問(wèn)用戶權(quán)限����,但用戶很少了解那樣的選擇的影響。 “從用戶的角度來(lái)看���,要求允許成為一個(gè)二進(jìn)制的問(wèn)題:讓這個(gè)程序來(lái)侵犯你的隱私權(quán)�,你可以玩跳舞的豬����,或不允許它你就不行的人會(huì)選擇每次跳舞的豬。我們有一個(gè)安全的選擇���,用戶不影響傳感器的有價(jià)值的用途����! 研究人員集中研究從廣告商的威脅。被問(wèn)到如果缺陷也可以通過(guò)網(wǎng)絡(luò)罪犯和間諜使用���,米勒說(shuō)他無(wú)法看到它的即時(shí)網(wǎng)絡(luò)犯罪的角度��。 | 
加載中...
發(fā)表于 2014-5-7 10:34:45
QQ好友和群
收藏