Και όμως ο εντοπισμός της θέσης μας είναι εφικτός χωρίς GPS και τη συναίνεσή μας
Τέσσερις ερευνητές του Πανεπιστημίου Princeton αποκάλυψαν πριν από μερικές ημέρες μια νέα μέθοδο αναγνώρισης της θέσης ενός χρήση smartphone, με τα αποτελέσματα να είναι ιδιαίτερα ανησυχητικά. Μέσω της χρήσης δεδομένων που μπορούν να συλλεχθούν από έναν app developer χωρίς τη συναίνεση του κατόχου της συσκευής, οι ερευνητές κατάφεραν να εντοπίσουν την θέση των χρηστών, χωρίς πρόσβαση στο GPS.
Για να προστατέψει την ιδιωτικότητα των χρηστών συσκευών smartphones, οποιοδήποτε app διαμοιράζεται μέσω του Google Play ή του Apple App Store, θα πρέπει να ζητήσει την συγκατάθεση των χρηστών, πριν αποκτήσει πρόσβαση στα location services. Γνωρίζουμε βέβαια, ότι ακόμη και με αυτήν την λειτουργικότητα απενεργοποιημένη στα settings της συσκευής, οι αρχές μπορούν να εντοπίσουν την θέση των χρηστών, είτε αναγνωρίζοντας τις κεραίες κινητής στις οποίες βρεθήκατε κοντά το τελευταίο διάστημα, είτε με άλλα δικά τους μέσα. Αλλά αποδεικνύεται, ότι τίποτα από αυτά δεν είναι απαραίτητο για να εντοπιστεί η θέση μας με ακρίβεια τύπου GPS.
Το κινητό μας, έρχεται εξοπλισμένο με αμέτρητους αισθητήρες που λίγο πολύ συλλέγουν πληροφορίες για το περιβάλλον. Το επιταχυνσιόμετρο για παράδειγμα, μπορεί να δηλώσει πόσο γρήγορα κινούμαστε, η πυξίδα την κατεύθυνσή μας, ενώ το βαρόμετρο να μετρήσει την πίεση του αέρα του περιβάλλοντος. Το smartphone επίσης δίνει και άλλα στοιχεία, όπως IP διευθύνσεις, timezones και κατάσταση δικτύου, δηλαδή αν είσαι συνδεδεμένος σε ένα Wi-Fi ή σε ένα δίκτυο κινητής. Όλα αυτά τα δεδομένα γίνονται accessed από οποιοδήποτε app κατεβάζετε, χωρίς τον τύπο των permissions που απαιτούνται για να την πρόσβαση στη λίστα επαφών, στις φωτογραφίες ή στο GPS. Σε συνδυασμό με τις πληροφορίες που είναι δημοσίως διαθέσιμες, όπως αναφορές καιρού, δρομολόγια μεταφορών και λοιπά, τα δεδομένα αυτά είναι αρκετά για να εντοπιστεί η θέση μας με ακρίβεια, ανεξάρτητα αν περπατάτε, ταξιδεύετε με αεροπλάνο, με τρένο ή με αυτοκίνητο.
Τι απαιτείται για να δουλέψει αυτή η επίθεση όμως; Πρώτον ένα app για να συλλέξει αυτές τις πληροφορίες. Επιπλέον, ο κώδικας των 2.000 γραμμών που απαιτείται για την επίθεση, μπορεί να βρίσκεται θαμμένος σε ένα αθώο app, όπως του φακού. Και ο κόσμος εξακολουθεί να κατεβάζει αυτά τα apps, ακόμη και αν αυτά περιέχουν σχεδόν πάντα malwares. Το app που δημιουργήθηκε από τους ερευνητές, αποκαλούνταν απλά PinMe.
Για να εντοπιστεί ο χρήστης, θα πρέπει πρώτα να αποφασιστεί τι είδους δραστηριότητα κάνουν εκείνη τη στιγμή. Είναι αρκετά εύκολο να πεις αν κάποιο άτομο περπατά ή αν βρίσκεται σε ένα αυτοκίνητο, καθώς η ταχύτητα αποτελεί ο καθοριστικός παράγοντας. Αλλά και όταν περπατάμε, κινούμαστε προς μια κατεύθυνση, ενώ το τηλέφωνο το κρατάμε σε διαφορετικές θέσεις. Στο αυτοκίνητο κάνουμε ξαφνικές στάσεις και συγκεκριμένα είδη στροφής. Οι άνθρωποι που ταξιδεύουν με το αεροπλάνο, αλλάζουν γρήγορα ζώνες ώρας, η πίεση του αέρα στο αεροπλάνο επίσης αλλάζει, κάτι που μπορεί να ανιχνευθεί από το βαρόμετρο του smartphone. Όταν βρίσκεστε στο τρένο, επιταχύνετε προς μια κατεύθυνση κάτι το οποίο δεν αλλάζει σημαντικά. Με άλλα λόγια, η αναγνώριση του μοντέλου κίνησης σας είναι σχετικά απλή υπόθεση.
Το γεγονός ότι το κινητό προσφέρει στοιχεία, όπως η αλλαγή ζωνών ώρας καθώς και την τελευταία IP διεύθυνση στην οποία συνδεθήκατε, κάνει την όλη διαδικασία πολύ πιο εύκολη. Οι διευθύνσεις IP (geolocating) μπορούν να αποκαλύψουν την τελευταία πόλη στην οποία βρεθήκατε, αλλά για να αποκαλυφθεί η επακριβής θέση σας, με ακρίβεια τύπου GPS, χρειάζονται ορισμένα δεδομένα που είναι ευρέως διαθέσιμα δημοσίως. Για παράδειγμα, για να διαπιστωθεί πόσο πάνω από την επιφάνεια της θάλασσας βρίσκεστε, το PinMe συνέλεγε δεδομένα που αφορούσαν την ατμοσφαιρική πίεση που ήταν διαθέσιμα από το Weather Channel και τα συνέκριναν με αυτά του βαρομέτρου του smartphone. Τα Google Maps και δεδομένα από το US Geological Survey Maps, επίσης προσφέρουν δεδομένα όσον αφορά υψομετρικές διαφορές. Και μιλάμε για μικρές διαφορές, από την μια γωνία του δρόμου στην άλλη.
Εφόσον ανιχνεύσει την δραστηριότητα των χρηστών, το PinMe, χρησιμοποιεί τέσσερις αλγόριθμους για να ξεκινήσει τον υπολογισμό της θέσης, μειώνοντας τις πιθανότητες λάθους, μέχρι το ποσοστό του λάθους να πέσει στο μηδέν. Ας πούμε για παράδειγμα ότι το app ανιχνεύει ότι ταξιδεύετε με κάποιο όχημα. Γνωρίζει το υψόμετρο, την ζώνη ώρας και αν δεν έχετε εγκαταλείψει την πόλη που βρισκόσασταν από την τελευταία σύνδεση στο Wi-Fi, τότε επιτυγχάνεται πλήρως το αποτέλεσμα.
Με την πρόσβαση σε χάρτες και πληροφορίες καιρού που είναι ευρέως διαθέσιμες και χάρη στο βαρόμετρο και στους λοιπούς αισθητήρες, είναι μόλις ζήτημα λίγων στροφών. Όταν το PinMe ανίχνευε την κίνηση ενός ερευνητή στη πόλη της Φιλαδέλφειας κατά τη διάρκεια δοκιμών, ο ίδιος έπρεπε να κάνει μόλις 12 στροφές μέχρι η εφαρμογή να γνωρίζει πλήρως που βρισκόταν. Με την κάθε στροφή, ο αριθμός των πιθανών θέσεων μειώνεται. Καθώς ο αριθμός των στροφών αυξάνεται, το app συλλέγει περισσότερα δεδομένα σχετικά με το περιβάλλον του χρήστη και ως εκ τούτου αυξάνονται οι πιθανότητες να βρει ένα μοναδικό driving path στον χάρτη. Οι ερευνητές προτείνουν αρκετά μέτρα για την αντιμετώπιση αυτού του τύπου της παρακολούθησης. Φυσικά, δεν υπήρχε κανένα πρόβλημα, αν τα apps ζητούσαν την άδεια πριν συλλέξουν πληροφορίες από τους αισθητήρες που γνωρίζουμε ότι είναι ευαίσθητες. Μια πρόταση, είναι οι κατασκευαστές να συμπεριλάβουν ένα kill switch επιτρέποντας να απενεργοποιηθούν αυτοί οι αισθητήρες, όταν το θελήσουν οι χρήστες. Αν και κάτι τέτοιο δεν αναμένεται να συμβεί.
Το πραγματικό πρόβλημα είναι ότι ένας χρήστης είναι απλά ανήμπορος να αντιμετωπίσει μια επίθεση τέτοιου είδους. Στη πραγματικότητα, σε αυτό που αποσκοπούσαν οι ερευνητές, ήταν να αναπτύξουν μια μέθοδο που θα μπορούσε να «ξεγελάσει» ακόμη και τον χρήστη οποίος είναι πολύ προσεκτικός με το ποια εφαρμογή έχει άδεια πρόσβαση σε ποια δεδομένα, τον τύπο του χρήστη που απενεργοποιεί το GPS όταν ταξιδεύει. Και όμως η συσκευή δεν θεωρεί τις μετρήσεις ατμοσφαιρικής πίεσης ή ποια διεύθυνση ακολουθείτε σε σχέση με τον βόρειο πόλο, να είναι τόσο ευαίσθητες …
foulscode.com
[via] | myphone.gr
Κατηγορίες:
Σχόλια