モバイルサイトが悪用されて機密センサーデータが漏洩する可能性がある

セキュリティ研究者のチームは、モバイルサイトが悪用されて機密センサーデータを漏洩する可能性があることを発見しました. と呼ばれるレポート “Webの第六感” プライバシーへの影響と、悪意のあるユーザーがこれをどのように正確に使用できるかを明らかにします.

モバイルサイトはスマートフォンセンサーのデータを公開できます

モバイルサイトは、さまざまな方法を使用してデバイスユーザーに感染するために悪用される可能性があります—危険なWeb要素, ウイルスダウンロードスクリプトと暗号通貨マイナー, しかし、新しいレポートは新しい戦略に光を当てます. セキュリティ専門家のチームと彼らの最近公開された論文によると “Webの第六感” サイトはセンサーデータの漏洩に使用される可能性があります.

AndroidとiOSの両方のWebブラウザーでは、センサーデータにアクセスするための適切なアクセス許可が付与されている必要があります, この機能は、デバイスが回転したときに画面を回転させるために使用されます。. さらに興味深いのは、開発者が生のセンサーデータにアクセスできるようにすることです。. さまざまなサイトがこの事実を利用しているため、これは問題のある領域であることが判明しました. 上部を見てください 100 000 Alexaによってランク付けされたサイトは次のことを示しています の合計 3695 それらの中には、何らかの方法でWebサイトのスクリプトが組み込まれています “タップ” センサーデータ.

最も人気のあるケースの1つは、 グーグルマップ 使用法— Webブラウザウィンドウで開くと、位置データへのアクセスを要求します. 付与されると、これは さらに 他のセンサーデータを収集できるようにする—モーション, 点灯, ユーザーに通知したり、コレクションを要求したりするための特定のメカニズムがない近接性など. 実際には、それらのコレクションはユーザーには見えません.

悪意のあるユーザーは、さまざまなシナリオでこのようなデータを利用できます。周囲光の検出を使用してWebの閲覧習慣をチェックし、モーションセンサーのデータでPIN番号の入力やその他のユーザーアクティビティを推測できます。. 研究者たちは、修正されていないハッカーが他のメカニズムも開発できると論文で推測しています. 彼らは9つのブラウザーを調べ、センサーデータの処理方法を分析しました。: 角, サファリ, Firefox, 勇敢, 集中, クロム, UCブラウザとOperaMini. データは、Firefoxのモバイルバージョンのみが光センサーと近接センサーにアクセスするための追加のアクセス許可を要求することを示しています. さらに興味深いのは、人気のあるトラッキングおよび広告ブロッカーのほとんどが、センサーデータを要求するスクリプトを確実にブロックしなかったという事実です。.

トピックの詳細については、全体を読むことができます 紙.