Исследователь безопасности представил метод для извлечения конфиденциальных данных с ноутбука или смартфона через встроенные датчики внешнего освещения.
Эксперт по безопасности Лукаш Олейник обнаружил, что можно украсть конфиденциальные данные, используя датчики окружающего света, встроенные во многие смартфоны и ноутбуки.
Датчики окружающего света установлены на электронных устройствах, чтобы автоматически изменять яркость экрана, но Олейник предупреждает о намерении консорциума World Wide Web (W3C) «разрешать ли веб-сайтам доступ к светочувствительному сенсору, не требуя разрешения пользователя».
Таким образом, злоумышленник может анализировать изменения яркости через датчики окружающего освещения и украсть конфиденциальные данные, такие как QR-код, который включен на веб-страницу, которые используются для механизмов аутентификации.
«Как точно данные освещенности могут извлекать личные данные? Наша атака основана на двух наблюдениях:
Например, Olejnik напоминает нам, что многие сайты меняют цвет ссылок после того, как пользователь их посетил, а затем эксперт использовал датчики окружающего света для обнаружения этих изменений и доступа к истории просмотра пользователей.
«В целях конфиденциальности браузеры относятся к разработчикам о цветах ссылок, отображаемых на странице; в противном случае злоумышленник мог бы применить : посещенные стили и определить, какие веб-сайты присутствуют в истории пользователя », - продолжает Олейник.
Эксперт подчеркнул, что такая атака очень медленная, потребовалось 48 секунд, чтобы обнаружить 16-символьную текстовую строку и три минуты и двадцать секунд, чтобы распознать QR-код.
«В принципе, датчики браузера могут обеспечивать скорость считывания 60 Гц. Однако это не означает, что мы можем фактически извлекать 60 бит в секунду - это потому, что конечный предел обнаружения привязан к скорости, с которой датчик может изменять яркость экрана . - объяснил Олейник.
В тесте, проведенном экспертом, он и его команда измеряли яркость экрана до латентности считывания 200-300 мс, и для полностью надежного использования более реалистично принимать один бит на 500 мс.
Ниже приведены примеры времени обнаружения, которые можно получить по вышеуказанной скорости:
Олейник также предлагает контрмеры для смягчения атаки путем ограничения частоты показаний датчиков окружающего света с помощью API и квантования их выхода. Таким образом, контрмеры не будут влиять на активность датчиков, предотвращающих любое злоупотребление.
«В нынешнем предложении утверждается, что достаточны следующие меры защиты:
Эксперт по безопасности Лукаш Олейник обнаружил, что можно украсть конфиденциальные данные, используя датчики окружающего света, встроенные во многие смартфоны и ноутбуки.
Датчики окружающего света установлены на электронных устройствах, чтобы автоматически изменять яркость экрана, но Олейник предупреждает о намерении консорциума World Wide Web (W3C) «разрешать ли веб-сайтам доступ к светочувствительному сенсору, не требуя разрешения пользователя».
Таким образом, злоумышленник может анализировать изменения яркости через датчики окружающего освещения и украсть конфиденциальные данные, такие как QR-код, который включен на веб-страницу, которые используются для механизмов аутентификации.
«Как точно данные освещенности могут извлекать личные данные? Наша атака основана на двух наблюдениях:
- Цвет экрана пользователя может нести полезную информацию, на которую веб-сайтам не предоставляется прямой доступ по соображениям безопасности.
- Световые датчики позволяют злоумышленнику различать разные цвета экрана », - писал Олейник в блоге .
Например, Olejnik напоминает нам, что многие сайты меняют цвет ссылок после того, как пользователь их посетил, а затем эксперт использовал датчики окружающего света для обнаружения этих изменений и доступа к истории просмотра пользователей.
«В целях конфиденциальности браузеры относятся к разработчикам о цветах ссылок, отображаемых на странице; в противном случае злоумышленник мог бы применить : посещенные стили и определить, какие веб-сайты присутствуют в истории пользователя », - продолжает Олейник.
Эксперт подчеркнул, что такая атака очень медленная, потребовалось 48 секунд, чтобы обнаружить 16-символьную текстовую строку и три минуты и двадцать секунд, чтобы распознать QR-код.
«В принципе, датчики браузера могут обеспечивать скорость считывания 60 Гц. Однако это не означает, что мы можем фактически извлекать 60 бит в секунду - это потому, что конечный предел обнаружения привязан к скорости, с которой датчик может изменять яркость экрана . - объяснил Олейник.
В тесте, проведенном экспертом, он и его команда измеряли яркость экрана до латентности считывания 200-300 мс, и для полностью надежного использования более реалистично принимать один бит на 500 мс.
Ниже приведены примеры времени обнаружения, которые можно получить по вышеуказанной скорости:
- Обычная текстовая строка из 8 символов: 24 секунды (предполагая 6 бит на символ для буквенно-цифровой строки, отображаемой в известном шрифте)
- Обычная текстовая строка 16 символов: 48 секунд
- 20 × 20 QR-код: 3 минуты 20 секунд
- Обнаружение 1000 популярных URL-адресов в истории: 8 минут 20 секунд
- 64 × 64 пиксель изображение: 34 минуты 8 секунд
Олейник также предлагает контрмеры для смягчения атаки путем ограничения частоты показаний датчиков окружающего света с помощью API и квантования их выхода. Таким образом, контрмеры не будут влиять на активность датчиков, предотвращающих любое злоупотребление.
«В нынешнем предложении утверждается, что достаточны следующие меры защиты:
- Ограничьте частоту показаний датчиков (до уровня менее 60 Гц)
- Ограничьте точность вывода датчика (квантовать результат), - заключил Олейник.
