Uma equipe de pesquisadores de segurança descobriu que os sites móveis pode ser abusado a vazar dados de sensores sensíveis. O relatório chamado “Sexto Sentido da Web” revela as implicações de privacidade e como exatamente isso pode ser usado por usuários mal-intencionados.
Sites móveis podem expor dados de sensores de smartphones
Sites móveis podem ser abusados para infectar usuários de dispositivos de várias maneiras - elementos perigosos da web, scripts de download de vírus e mineradores de criptomoedas, mas um novo relatório lança luz sobre uma nova estratégia. De acordo com uma equipe de especialistas em segurança e seu artigo recentemente publicado chamado “Sexto Sentido da Web” os sites podem ser usados para vazar dados dos sensores.
Os navegadores da Web no Android e iOS exigem que as permissões apropriadas para acessar os dados dos sensores sejam concedidas, essa funcionalidade é usada para girar a tela quando o dispositivo é ligado e, por exemplo,. O mais interessante é que eles também permitem que os desenvolvedores acessem os dados brutos dos sensores. Isso acaba sendo uma área problemática, pois vários sites aproveitam esse fato. Uma olhada no topo 100 000 sites classificados pelo Alexa mostra que um total de 3695 deles incorporam scripts de sites que de alguma forma “toque” os dados dos sensores.
Um dos casos mais populares é o associado ao Google Maps uso - se for aberto em uma janela do navegador da Web, será solicitado o acesso aos dados do local. Quando concedido, isso Além disso permitir a coleta de dados de outros sensores - movimento, iluminação, proximidade e etc. para os quais não há mecanismo específico para notificar os usuários ou solicitar sua coleta. Na realidade, sua coleção é invisível para os usuários.
Usuários mal-intencionados podem usar esses dados em vários cenários - a detecção de luz ambiente pode ser usada para verificar hábitos de navegação na Web, enquanto os dados dos sensores de movimento podem deduzir a entrada do número PIN e outras atividades do usuário. Os pesquisadores deduzem em seu artigo que, se não for fixo, hackers também podem desenvolver outros mecanismos. Eles analisaram nove navegadores e analisaram como lidam com os dados dos sensores: Beira, Safári, Raposa de fogo, Bravo, Foco, cromada, Navegador UC e Opera Mini. Os dados mostram que apenas a versão móvel do Firefox solicita permissões adicionais para acessar os sensores de luz e proximidade. O mais interessante é o fato de que a maioria dos rastreadores e bloqueadores de anúncios populares não bloqueou de maneira confiável os scripts que solicitam dados dos sensores.
Para mais informações sobre o tópico, você pode ler o papel.