Un equipo de investigadores de seguridad ha descubierto que los sitios móviles pueden ser objeto de abuso a la fuga de datos sensibles sensores. El informe titulado “La web de Sexto Sentido” revela las implicaciones de privacidad y cómo exactamente esto puede ser utilizado por usuarios maliciosos.
Sitios móviles pueden exponer a los sensores de datos de Smartphone
sitios móviles pueden ser objeto de abuso para infectar a los usuarios de los dispositivos que utilizan diversas formas - Elementos web peligrosos, guiones de descarga de virus y mineros criptomoneda, pero un nuevo informe arroja luz sobre una nueva estrategia. De acuerdo con un equipo de expertos en seguridad y su trabajo publicado recientemente llamada “La web de Sexto Sentido” los sitios se pueden utilizar para filtrar datos de sensores.
Los navegadores web sobre Android y iOS requieren que los permisos apropiados para acceder a datos de sensores se concede, esta funcionalidad se utiliza para girar la pantalla cuando el dispositivo se enciende y, por ejemplo. Lo que es más interesante es que también permiten a los desarrolladores acceso a los datos de sensores sin procesar. Esto resulta ser un área problemática como diversos sitios se aprovechan de este hecho. Un vistazo a la parte superior 100 000 sitios según el ranking de Alexa muestra que un total de 3695 de ellos incorporar scripts de sitios web que de alguna manera “grifo” los datos de los sensores.
Uno de los casos más populares es el asociado con mapas de Google uso - si se abre en una ventana del navegador web que solicitará el acceso a datos de ubicación. Cuando se concede esta voluntad Adicionalmente permitir que los datos de otros sensores para ser recogidos - movimiento, iluminación, etc proximidad y para los que no existe un mecanismo específico para notificar a los usuarios o solicitando su colección. En realidad, su colección es invisible para los usuarios.
Los usuarios malintencionados pueden hacer uso de tales datos en diversos escenarios - la detección de luz ambiental puede utilizarse para comprobar los hábitos de navegación web mientras que los datos de los sensores del movimiento pueden deducir de entrada del número PIN y otras actividades de los usuarios. Los investigadores deducen en su artículo que si no pueden los piratas informáticos fijos desarrolladores otros mecanismos, así. Se miraron nueve navegadores y analizan la forma en que manejan datos de los sensores: Borde, Safari, Firefox, Valiente, Atención, Cromo, UC Browser y Opera Mini. Los datos muestran que sólo la versión móvil de la solicitud Firefox permisos adicionales para acceder a los sensores de luz y proximidad. Lo que es más interesante es el hecho de que la mayoría de los populares de seguimiento y bloqueo de anuncios no bloqueó de forma fiable las secuencias de comandos que solicitan datos de los sensores.
Para obtener más información sobre el tema se puede leer la totalidad papel.