9:00
15/10/2013

Charakterystyczny sposób obracania twojego telefonu zmierzony przy pomocy wbudowanego w niego akcelerometru. Naukowcy twierdzą, że opracowana przez nich technika pozwoli zidentyfikować użytkownika w realnym świecie tak, jak robią to ciasteczka w internecie.

Zdrada przez akcelerometr

Nie raz już pisaliśmy o akcelerometrze wbudowanym w telefon, jako przykładzie na świetne źródło ataków typu “side-channel” (por. Innowacyjny keylogger z akcelerometru oraz Telefon szpieg, ukradkiem sfotografuje twój dom i zrobi z niego model w 3D, przekazując go złodziejowi).

akcelerometr i fingerprinting

akcelerometr i fingerprinting

Teraz naukowcy z uniwersytetu Stanford zademonstrowali, że aby zostać sprofilowanym, wystarczy wejść na specjalną stronę internetową z kodem JavaScript, który periodycznie odpytuje akcelerometr w telefonie i bada charakterystyczne dla danego egzemplarza różnice w zachowaniu akcelerometru.

Unikatowy fingerprint telefonu obliczany jest drobne odchylenia od wzorcowej, idealnej pozycji. Naukowcy w swoim eksperymencie poprosili użytkowników o położenie telefonu ekranem do góry na płaskiej powierzchni, a następnie jego dotknięcie i przewrócenie ekranem do dołu. Idealnie, wartość pierwszego odczytu powinna być odwrotnością wartości drugiego, ale jak się okazuje, akcelerometry nie są idealne.

Warto dodać, że telefon może zdradzić naszą tożsamość i upodobania także na wiele innych sposobów — przypomnijmy chociażby projekt CreepyDOL oraz Presence ORB autorstwa hackerów i marketerów.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

10 komentarzy

Dodaj komentarz
  1. Stara Nokia znów wygrywa ;-)

  2. Przydałoby się oprogramowanie, które fałszowałoby te odczyty ;)

  3. wystarczy 30 km dalej przeprowadzic ten test i wynik jest inny co jednak nie zmniejsza zagrozenia identyfikacji np. w kolejce przy sklepowej kasie

  4. Powodzenia w wykorzystaniu takiego ataku w praktyce. W Polsce po pierwsze nic płaskiego nie jest wypoziomowane. Polecam przyłożenie poziomicy do podłogi w starym domku albo nawet nowym bloku.

    Po drugie, ciekawe jak ma wyglądać skłonienie przeciętnego użytkownika do wykonania takich operacji? Chcą od tego uzależnić dostęp do strony? No chyba, że aplikacje mogą w jakiś sposób przemycić ten Accel_ID, ale nawet wtedy ludzie się przekonają, że wystarczy zrobić cokolwiek.

    Po trzecie, nawet jeżeli dostaną nasze Accel_ID to jak chcą je uzyskać ponownie do porównania z bazą? Gdyby nagle jakaś strona zaczęła wymagać czegoś takiego przy każdym wejściu to ludzie zaczęliby ją omijać z daleka. Gdyby zaś identyfikacja miała opierać się o normalne użytkowanie to też nie przejdzie, bo większość ludzie trzyma telefon w różnych pozycjach, a nie jak robot zawsze tak samo.

    • Jeśli fingerprinting opiera się o charakterystyczne dla danego akcelerometru odchylenia (lub ruchy użytkownika), to można go identyfikować poprzez grę — sterowanie tak ustawione, aby wykonać “mierzalną” figurę akecelerometrem. Alternatywnie, celowe obrócenie ekranu o 90 stopni, żeby user przekręcił urządzenie, myśląc, że czujnik zgłupiał… To drugie można wstrzyknąć w trakcie czytania artykułu, w końcu nie wszyscy “grają w grę” ;-)

    • Takie celowe odwrócenie o 90 stopni niewiele da, ponieważ szansa, że user za każdym razem wykona dokładnie takie sam ruch by zmusić ekran do reakcji jest bardzo niewielka. W chińczyku kuzynki są takie problemy i każdy wtedy wykonuje szarpnięcie telefonem a nie dokładny obrót.

      Co do ruchów to ma to większy sens, ale wpływ na akcelerometr ma zbyt wiele czynników, nie tylko środowiskowych ale i wypływających z użytkownika, jak chociażby stan zdrowia.

  5. accelerationIncludingGravity – IE Phone:Not supported – tak się załatwia tego typu wynalazki, ale dla fanatyków zgniłego jabłka to nie problem, oni są już dawno szpiegowani.

  6. W pierwszej ramce brakuje: “jako”.

  7. aKCElerometru zamiast aKECElerometru w tytule posta – potem już wszędzie piszecie poprawnie. pozdrawiam

  8. To są pewnie kolejne zabawy z sieciami neuronowymi, na zasadzie “co jeszcze możemy wrzucić w sieć żeby rozpoznać użytkownika”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: