Een team van security onderzoekers heeft ontdekt dat mobiele sites kunnen misbruikt worden om gevoelige sensoren gegevens lekken. Het rapport riep “Het web Sixth Sense” onthult de privacy implicaties en hoe dit precies kan worden gebruikt door kwaadwillende gebruikers.
Mobiele sites kunnen smartphonegegevens van sensoren vrijgeven
Mobiele sites kunnen op verschillende manieren worden misbruikt om gebruikers van apparaten te infecteren: gevaarlijke webelementen, virus download scripts en cryptocurrency miners, maar een nieuw rapport werpt licht op een nieuwe strategie. Volgens een team van beveiligingsexperts en hun onlangs gepubliceerde paper genoemd “Het web Sixth Sense” de sites kunnen worden gebruikt om sensordata te lekken.
De webbrowsers op zowel Android als iOS vereisen dat de juiste machtigingen voor toegang tot sensorgegevens worden verleend, deze functionaliteit wordt gebruikt om het scherm te draaien wanneer het apparaat wordt gedraaid en bijvoorbeeld. Wat interessanter is, is dat ze ontwikkelaars ook toegang geven tot de onbewerkte sensorgegevens. Dit blijkt een problematisch gebied te zijn, aangezien verschillende sites hiervan profiteren. Een blik op de top 100 000 sites zoals gerangschikt door Alexa laat dat zien een totaal van 3695 van hen bevatten scripts voor websites die op de een of andere manier “kraan” de sensorgegevens.
Een van de meest populaire gevallen is die geassocieerd met Google Maps gebruik - als het wordt geopend in een webbrowservenster, wordt toegang tot locatiegegevens gevraagd. Bij toekenning zal dit bovendien toestaan dat andere sensorgegevens worden verzameld - beweging, verlichting, nabijheid en dergelijke waarvoor er geen specifiek mechanisme is om gebruikers op de hoogte te stellen of om hun collectie te vragen. In werkelijkheid is hun collectie onzichtbaar voor de gebruikers.
Kwaadwillende gebruikers kunnen dergelijke gegevens in verschillende scenario's gebruiken - de detectie van omgevingslicht kan worden gebruikt om te controleren op surfgewoonten op internet, terwijl de gegevens van bewegingssensoren de invoer van pincodes en andere gebruikersactiviteiten kunnen afleiden. De onderzoekers leiden in hun paper af dat hackers, als ze niet worden opgelost, ook andere mechanismen kunnen ontwikkelen. Ze keken naar negen browsers en analyseerden hoe ze omgaan met sensorgegevens: Rand, Safari, Firefox, dapper, Focus, Chrome, UC Browser en Opera Mini. Uit de gegevens blijkt dat alleen de mobiele versie van Firefox aanvullende toestemming vraagt voor toegang tot de licht- en naderingssensoren. Wat nog interessanter is, is het feit dat de meeste populaire tracking- en advertentieblokkers de scripts die sensorgegevens opvragen niet op betrouwbare wijze blokkeerden.
Voor meer informatie over het onderwerp kun je het geheel lezen papier.