Sześć lat po tym, jak pojawiły się obawy dotyczące bezpieczeństwa w sieci i prywatności związane z czujnikami światła otoczenia w telefonach komórkowych i laptopach, narzędzia przeglądarki w końcu wdrożyły zabezpieczenia.
W3C, ulubiona organizacja zajmująca się standardami sieciowymi, zaczęła w 2012 r. opracowywać specyfikację API Ambient Light Events, aby zdefiniować, w jaki sposób przeglądarki internetowe obsługują dane i zdarzenia z czujników światła otoczenia (ALS). Sekcja 4 projektu specyfikacji”,Względy dotyczące bezpieczeństwa i prywatnościByła pusta, to był bardziej relaksujący czas.
przyjdź 2015, Specyfikacja ewoluowała Uwzględnienie potwierdzenia, że ALS może zezwolić na łączenie danych i odciski palców urządzeń, kosztem prywatności ludzi. Zasugerowano, że twórcy przeglądarek mogą rozważyć ograniczenie liczby zdarzeń jako potencjalne ograniczenie.
Do 2016 r. stało się jasne, że umożliwienie interakcji kodu internetowego z czujnikami światła urządzenia wiąże się z ryzykiem dla prywatności i bezpieczeństwa poza odciskami palców. Dr Łukasz Olejnik, niezależny badacz i konsultant ds. prywatności, zbadał możliwości w 2016 Post na blogu.
Olejnik przytoczył szereg sposobów, w jakie odczyty czujników światła otoczenia mogą być nadużywane, w tym wyciek danych, profilowanie, analiza behawioralna i różne formy komunikacji między urządzeniami.
Opisz niektóre ataki typu „proof-of-concept”, zaprojektowane za pomocą Badacz bezpieczeństwa Artur Jankw Post 2017 I przejdź do szczegółów w papier 2020 [PDF].
„Opracowany przez nas atak był przeciekiem bocznym, teoretycznie bardzo prostym, wykorzystującym właściwości optyczne i odblaskowe ludzkiej skóry” – wyjaśnił w swoim artykule Oleinik.
Odzwierciedla tylko odbicie skóry 4-7 procent emitowanego światła Ale nowoczesne wyświetlacze emitują światło o świetnym oświetleniu. Wykorzystaliśmy te fakty dotyczące natury, aby stworzyć atak, który oparł zawartość witryny na informacjach zakodowanych na poziomie światła i przesłał je przez skórę użytkownika z powrotem do kontekstu przeglądania, który śledzi odczyty czujnika światła”.
To właśnie ta technika umożliwiła ataki typu proof-of-concept, takie jak Kradzież historii sieci Na podstawie wniosków ze zmian CSS i Kradzież zasobów przez źródłotakich jak obrazy lub zawartość elementów iframe.
Prędkość ślimaka
Producenci przeglądarek odpowiadali na różne sposoby. W maju 2018 roku, wraz z wydaniem Firefoksa 60, Mozilla przeniosła dostęp do pobliskich interfejsów API W3C i światła otoczenia za flagami oraz nałożyła dodatkowe ograniczenia w późniejszych wydaniach Firefoksa.
Po prostu jabłko Odmów wykonania API W WebKit wraz z szeregiem innych możliwości. Apple i Mozilla są obecnie w konflikcie Sugestia dotycząca ogólnego interfejsu API czujnika.
Google przyjął to, co Olejnik i jego artykuł badawczy określa jako „bardziej zniuansowane” podejście, Ograniczenie dokładności danych z czujnika.
Ale ci, którzy pracują nad specyfikacją W3C i przeglądarkami, które ją implementują, zdają sobie sprawę, że ta ochrona prywatności Powinien być sformalizowanyZwiększenie prawdopodobieństwa powszechnego przyjęcia i wykorzystania API.
więc oni Oddano głos Aby ujednolicić niedokładności w danych ALS (standard dla przeglądarek) i wymagać pozwolenia na dostęp do kamery w ramach specyfikacji ALS.
Te zmiany Wreszcie w specyfikacji ALS w tym tygodniu. W rezultacie Google i prawdopodobnie inni twórcy przeglądarek mogą zdecydować się na domyślne udostępnienie interfejsu API ALS, zamiast ukrywać go za flagą lub całkowicie go ignorować. ®
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.
