Security Lab

Трясти надо

Трясти надо
Инерционный датчик (акселерометр) в смартфоне лишь на первый взгляд безобиден и не является источником конфиденциальной информации. Не подумав как следует, к нему разрешили доступ разным сторонним приложениям. И приложения принялись творить чудеса.

Оказалось, что датчик позволяет считать шаги, оценивать расход энергии, определять фазу сна, передавать данные ударом двух телефонов друг о друга, подсматривать нажатые кнопки, а в отдельных случаях – даже вычислять интергированием скорость и координаты. Ещё больше информации даст коррелирование данных с датчиков из разных смартфонов. Или их сопоставление с рельефом местности, планом здания и т.п.

"Сырые" данные с акселерометра сами по себе будет затруднительно признать конфиденциальной информацией. Нечто ценное из них можно извлечь лишь после математической обработки, сделав достаточно нетривиальные предположения об условиях эксплуатации. Не говоря уже о сопоставлении с иными, "чужими" данными.

Придётся защищать (или зачищать) их просто так, без чёткого юридического статуса.

Помните, как в банкоматах появилась новая фича: карта в картоприёмник начала втягиваться не плавно, а рывками? Для противодействия скимингу. Кто-то эти узлы для неравномерной протяжки разрабатывал, делал и продавал. Как насчёт вибростендов и виброчехлов для смартфонов?

угрозы интернет-разведка НСД
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

InfoWatch

Блог компании infowatch infowatch.livejournal.com