• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Security Affairs - датчики окружающего света, взлома)

mixa264

Авторитет
Сообщения
1.445
Реакции
2.117
0 руб.
Исследователь безопасности представил метод для извлечения конфиденциальных данных с ноутбука или смартфона через встроенные датчики внешнего освещения.
Эксперт по безопасности Лукаш Олейник обнаружил, что можно украсть конфиденциальные данные, используя датчики окружающего света, встроенные во многие смартфоны и ноутбуки.

Датчики окружающего света установлены на электронных устройствах, чтобы автоматически изменять яркость экрана, но Олейник предупреждает о намерении консорциума World Wide Web (W3C) «разрешать ли веб-сайтам доступ к светочувствительному сенсору, не требуя разрешения пользователя».

Таким образом, злоумышленник может анализировать изменения яркости через датчики окружающего освещения и украсть конфиденциальные данные, такие как QR-код, который включен на веб-страницу, которые используются для механизмов аутентификации.



«Как точно данные освещенности могут извлекать личные данные? Наша атака основана на двух наблюдениях:

  • Цвет экрана пользователя может нести полезную информацию, на которую веб-сайтам не предоставляется прямой доступ по соображениям безопасности.
  • Световые датчики позволяют злоумышленнику различать разные цвета экрана », - писал Олейник в блоге .

Например, Olejnik напоминает нам, что многие сайты меняют цвет ссылок после того, как пользователь их посетил, а затем эксперт использовал датчики окружающего света для обнаружения этих изменений и доступа к истории просмотра пользователей.

«В целях конфиденциальности браузеры относятся к разработчикам о цветах ссылок, отображаемых на странице; в противном случае злоумышленник мог бы применить : посещенные стили и определить, какие веб-сайты присутствуют в истории пользователя », - продолжает Олейник.

Эксперт подчеркнул, что такая атака очень медленная, потребовалось 48 секунд, чтобы обнаружить 16-символьную текстовую строку и три минуты и двадцать секунд, чтобы распознать QR-код.

«В принципе, датчики браузера могут обеспечивать скорость считывания 60 Гц. Однако это не означает, что мы можем фактически извлекать 60 бит в секунду - это потому, что конечный предел обнаружения привязан к скорости, с которой датчик может изменять яркость экрана . - объяснил Олейник.

В тесте, проведенном экспертом, он и его команда измеряли яркость экрана до латентности считывания 200-300 мс, и для полностью надежного использования более реалистично принимать один бит на 500 мс.

Ниже приведены примеры времени обнаружения, которые можно получить по вышеуказанной скорости:

  • Обычная текстовая строка из 8 символов: 24 секунды (предполагая 6 бит на символ для буквенно-цифровой строки, отображаемой в известном шрифте)
  • Обычная текстовая строка 16 символов: 48 секунд
  • 20 × 20 QR-код: 3 минуты 20 секунд
  • Обнаружение 1000 популярных URL-адресов в истории: 8 минут 20 секунд
  • 64 × 64 пиксель изображение: 34 минуты 8 секунд
Хорошей новостью является то, что атака в некоторых случаях невозможна, потому что пользователи не будут долго хранить QR-код на экране.

Олейник также предлагает контрмеры для смягчения атаки путем ограничения частоты показаний датчиков окружающего света с помощью API и квантования их выхода. Таким образом, контрмеры не будут влиять на активность датчиков, предотвращающих любое злоупотребление.

«В нынешнем предложении утверждается, что достаточны следующие меры защиты:

  • Ограничьте частоту показаний датчиков (до уровня менее 60 Гц)
  • Ограничьте точность вывода датчика (квантовать результат), - заключил Олейник.
Просторы интернета.
 

AlkaSeltzer

Канадский программист

AlkaSeltzer

Канадский программист
Резидент
Сообщения
271
Реакции
409
0 руб.
Telegram
Еще один пример того, что компьютерная безопасность - вещь немыслимая.

Полностью изолированные компьютеры взламываются через провода, компании сливаются из-за незащищенного умного градусника, теперь вот : датчики телефона позволяют злоумышленнику украсть конфиденциальные данные...

Вывод : было бы болото, а черти напрыгают!
В том смысле, что, пока будут злоумышленники, полной безопасности существовать не может.

Edit
П.С.: Сравнение, честно говоря, немного неудачное. Правильнее было бы сказать : были бы черти, а болото найдется! (Черти = злоумышленники, болото = уязвимости)
 
Последнее редактирование:

Jumpux

Местный
Сообщения
125
Реакции
152
0 руб.
Telegram
Теперь я понимаю то что не может быть 100% безопасность компьютера...
только если походу обрубить все провода к компу
 

AlkaSeltzer

Канадский программист

AlkaSeltzer

Канадский программист
Резидент
Сообщения
271
Реакции
409
0 руб.
Telegram
Теперь я понимаю то что не может быть 100% безопасность компьютера...
только если походу обрубить все провода к компу
Единственный верный способ полностью обезопасить данные : поместить их на SSD, зашифровать, стереть все копии, отключить SSD и запереть в Форт-Ноксе...
Для справки : в Форт-Ноксе (Fort Knox) хранится американский запас золота.
 
Сверху Снизу