Une équipe de chercheurs en sécurité a découvert que les sites mobiles peuvent être abusés à des fuites de données sensibles des capteurs. Le rapport intitulé “Sixième Sens du Web” révèle les implications de la vie privée et comment exactement cela peut être utilisé par des utilisateurs malveillants.
Les sites mobiles peuvent exposer les données des capteurs de smartphone
Les sites mobiles peuvent être utilisés de manière abusive pour infecter les utilisateurs d'appareils de différentes manières : éléments Web dangereux, scripts de téléchargement de virus et mineurs de crypto-monnaie, mais un nouveau rapport met en lumière une nouvelle stratégie. Selon une équipe d'experts en sécurité et leur article récemment publié intitulé “Sixième Sens du Web” les sites peuvent être utilisés pour divulguer des données de capteurs.
Les navigateurs Web sur Android et iOS nécessitent que les autorisations appropriées pour accéder aux données des capteurs soient accordées, cette fonctionnalité est utilisée pour faire pivoter l'écran lorsque l'appareil est tourné et par exemple. Ce qui est plus intéressant, c'est qu'ils permettent également aux développeurs d'accéder aux données brutes des capteurs. Cela s'avère être un domaine problématique car divers sites profitent de ce fait. Un coup d'oeil au sommet 100 000 les sites selon le classement Alexa montre que un total de 3695 de les incorporer des scripts de sites Web qui d'une certaine façon “robinet” les données des capteurs.
L'un des cas les plus populaires est celle associée à Google Maps utilisation - si elle est ouverte dans une fenêtre de navigateur Web, il demandera l'emplacement d'accès aux données. Lorsque cette volonté accordée aditionellement d'autres données permettent de capteurs à recueillir - mouvement, éclairage, etc proximité et pour lesquels il n'y a pas de mécanisme spécifique pour informer les utilisateurs ou de demander leur collection. En réalité, leur collection est invisible pour les utilisateurs.
Les utilisateurs malveillants peuvent utiliser ces données dans divers scénarios - la détection de la lumière ambiante peut être utilisé pour vérifier les habitudes de navigation sur le Web alors que le mouvement des données de capteurs peuvent déduire la saisie du numéro PIN et d'autres activités de l'utilisateur. Les chercheurs en déduisent dans leur papier que si les pirates ne fixe peut développeurs d'autres mécanismes et. Ils ont examiné neuf navigateurs et analysé la façon dont ils traitent les données des capteurs: Bord, Safari, Firefox, Courageux, Concentrer, Chrome, UC Browser et Opera Mini. Les données montrent que seule la version mobile de Firefox demandent des autorisations supplémentaires pour accéder aux capteurs de lumière et de proximité. Ce qui est plus intéressant est le fait que la plupart des bloqueurs de suivi populaires et annonces ne bloque pas de manière fiable les scripts qui demande des données de capteurs.
Pour plus d'informations sur le sujet, vous pouvez lire l'ensemble papier.