Vedci v jednom z najnovších výskumov zistili, že webstránky môžu sledovať používateľov aj pomocou úrovne batérie v ich mobilnom zariadení. Môže za to Battery Status API, ktorý sa dá implementovať do kódu ľubovoľného webu a bez povolenia používateľa dokáže zistiť informáciu o úrovni batérie. Pomocou nej dokáže vytvoriť jedinečný odtlačok zariadenia na webe a sledovať používateľa naprieč ďalšími webmi. Informácia o úrovni batérie sa aktualizuje na webe každých 30 sekúnd, a tak sa dá zistiť pomerne presne, či ide o totožné zariadenie, prípadne ako rýchlo na danom zariadení klesá úroveň batérie. Z trojice najpoužívanejších prehliadačov (Chrome, Firefox a Opera) tento nedostatok zatiaľ odstránil len Firefox.
Pomocou Battery Status API dokážu majitelia webstránok zistiť, koľko percent batérie má vaše zariadenie a spárovať to napríklad s informáciou o IP adrese. Keď potom navštívite inú z ich webstránok, vedia, že ste to opäť vy. Informácia je užitočnou aj pre hackerov, ktorí tak vedia pomocou škodlivého kódu napríklad zistiť, aké weby navštevujete. Najhoršie na tom všetko je, že sa informácia o batérii dá získať bez povolenia používateľa. Odborníci tlačia na autorov webových prehliadačov, aby túto možnosť okamžite odstránili, prípadne aby umožnili sledovanie informácií o batérie len po vedomom súhlase používateľov. Hoci nemožno úroveň batérie ako takú pokladať za citlivú informáciu, v spojení s IP adresou či inou informáciou už ide o jedinečný identifikátor používateľa, ktorý sa dá zneužiť v jeho neprospech.
Zdroj: IACR
A nieje to jedno? Nech si zistí hocikto čo za stránky sledujem. Na čo im to bude? Ak tak veľmi chcú, zdieľnem im históriu prehliadania :) Bude tam len youtube, wikipedia, google, stránky o programovaní a podobne. :D
Ano. A takto si vie sikovny hacker lahsie tipnut kde mas asi tak vytvorene konto. Staci aby jedna z tych stranok mala slabsie zabezpecenie a zisti tvoje pristupove udaje. A kedze uzivatelia su lenivy, tak sa moze lahko stat, ze mas rovnake udaje napriklad aj na uctoch do mailu. No a potom uz je lahke zistit si takmer cokolvek od cisla topanok az po cislo uctu a vyplienit ho.
Zakladne pravidlo bezpecnosti: nezverejnuj ziadne informacie, ktore nie je zverejnovat nevyhnutne.
“Staci aby jedna z tych stranok mala slabsie zabezpecenie a zisti tvoje pristupove udaje.” ako? a co snimi? aj ked by ich ukradol hocikde tak ich vie hocikde pouzit aj bez tohoto ;)
Nie celkom rozumiem co mas na mysli a ako to suvisi s mojim prispevkom vyssie.
Kazdopadne akymto zverejnovanim stranok, ktore navstevujes utocnikovi ulahcujes pracu. Ak mas moznost, tak si pozri serial Mr Robot. Zacnes o internetovej bezpecnosti hned premyslat inak.
Nepozeraj tolko filmov :) security riesim viac ako 10 rokov takze rozpravat mi otom nemusis
Nuz z tvojho nicku je dost tazke zistit ci a kolko rokov sa comu venujes, no ak je to pravda, tak by som teda odcenil trochu specifickeji komentar a analyzu toho co sa ti na mojom scenari nepozdava. Nech viem na co mam reagovat.
1. Analyza udajov ziskanych touto chybou v API dovoluje urcit mnozinu stranok navstevovanych uzivatelom pravidelne.
2. Z nich uz je jednoduchsie pre skuseneho utocnika vytipovat tie, ktore maju slabsie zabezpecenie a ziskat hoc aj phishingom prihlasovacie udaje.
3. Je verejnym tajomstvom, ze vysoke percento uzivatelov pouziva rovnake hesla na mnoho (alebo vsetky) sluzieb vratane citlivych.
4. Zautocit na taketo ciele je uz potom rutinna zalezitost.
Nie som bezpecnostny technik, no zbeznou logickou a statistickou analyzou mi tento scenar pride realizovatelny a rozhodne menej pritiahnuty za vlasy ako ziskavanie udajov z tekutym dusikom zmrazenych pamatovych modulov, ci zachytavanie GSM vysielania modulovaneho pomocou malware za pomoci dvojkanaloveho radica pamati RAM ako to bolo uz par krat prezentovane na konferenciach o pocitacovej bezpecnosti a uverejnene aj na tychto strankach.
Ludom v W3C asi docista preskocilo z tejto horucavy! Naco preboha do html5 implementovali toto api???
btw ” Disabled by default in Firefox 10.0, but can be enabled setting the preference dom.battery.enabled to true. Starting with Firefox 11.0, mozBattery is enabled by default. “
kravina jak mraky, osledovat si pouzivatela hore uvedenym sposobom moze aj tak len jeden vlasnik webu, ktory informacie o pouzivatelovi zhromazdi, cize nie su prenesitelne na iny (cudzi) web. Tym padom nikto nezisti historiu prehliadanych stranok, mozu sledovat akurat tak pohyb pouzivatela na svojom webe, cize na podstrankach… taketo nieco je uplne bezne a robi sa to napr. cez COOKIES ktore su ulozene v prehliadaci. Tak neviem preco tie obavy…