27

Akcelerometr zidentyfikuje Twój telefon zamiast ciasteczek i tej informacji nie wykasujesz z cache przeglądarki

Smartfon to pierwsze powszechnie używane urządzenie, które posiada aż tyle czujników. Nie tylko mikrofon, ale również akcelerometr, żyroskop, czujnik światła, GPS, czasem kompas czy barometr. Oczywiście daje to nam, użytkownikom, zupełnie nowe możliwości, ale jak mówią, z wielką władzą, czy może w tym wypadku z wielkimi możliwościami, przychodzi również wielka odpowiedzialność. Czujniki można wykorzystać również […]

Smartfon to pierwsze powszechnie używane urządzenie, które posiada aż tyle czujników. Nie tylko mikrofon, ale również akcelerometr, żyroskop, czujnik światła, GPS, czasem kompas czy barometr. Oczywiście daje to nam, użytkownikom, zupełnie nowe możliwości, ale jak mówią, z wielką władzą, czy może w tym wypadku z wielkimi możliwościami, przychodzi również wielka odpowiedzialność. Czujniki można wykorzystać również do celów, których użytkownik, czy nawet producent nie przewidział.

Jak się okazuje, jedną z takich możliwości jest zdalne identyfikowanie urządzenia przez np. przeglądarkę, bez użycia ciasteczek. Jak odkrył badacz z uniwersytetu Stanforda, żaden akcelerometr nie jest doskonały i każdy z nich generuje unikatowe dane w teoretycznie identycznych warunkach – gdy telefon leży płasko, nieruchomo na stole. Jest to więc unikalnym odciskiem palca danego urządzenia. Ponieważ dane akcelerometru są dostępne dla przeglądarki bez udzielania zezwoleń, w przeciwieństwie np. do danych GPS, strona WWW może zidentyfikować urządzenie, a następnie śledzić je przy kolejnych wizytach, nawet jeżeli użytkownik wyczyścił pamięć przeglądarki bądź korzysta z trybu incognito.

Nie wiadomo czy ten sposób jest już wykorzystywany przez reklamodawców, ale z pewnością może zostać wykorzystany w przyszłości. Jeśli chcecie samodzielnie przekonać się jak to działa, możecie wejść pod ten adres, tam zostanie wyliczony indywidualny identyfikator dla wszego urządzenia mobilnego wyposażonego w akcelerometr. Jeżeli odwiedzicie stronę ponownie, drugi identyfikator powinien wyglądać identycznie lub prawie identycznie jak ten wyliczony za pierwszym razem. Strona informuje, że sama z siebie nie zbiera żadnych informacji i służy jedynie celom zweryfikowania hipotezy.

IMG_4135

Czy zatem mamy do czynienia z niedopatrzeniem, skutkującym naruszeniem naszej prywatności? Moim zdaniem to nie do końca takie proste. Oczywiście, telefon teoretycznie mógłby się pytać za każdym razem, gdy jakaś aplikacja chciałaby uzyskać dostęp do jakiegokolwiek czujnika czy funkcji. Wiązałoby się to jednak niekończącym się klikaniem na kolejne zezwolenia, co skutecznie zatrułoby użytkownikom życie. Większość osób i tak nie wiedziałaby na co się de facto zgadza, ani tym bardziej czym to może grozić. Domyślne zablokowanie czujników w opcjach również jest słabym pomysłem. W końcu smartfon po to ma te wszystkie czujniki, aby z nich korzystać. Jak mamy wszystko zablokować, możemy równie dobrze sięgnąć po starą Nokię, pozbawioną wszelkich czujników. Nie ma się co oszukiwać, że wraz z nowoczesnym trybem życia można próbować zachować prywatność czy anonimowość. Nie można. Nawet płatność kartą kredytową pozwala zbudować profil gdzie i kiedy bywamy. Nacisk powinien być raczej położony na to, żeby państwo i różnego rodzaju firmy nie mogły gromadzić takich danych i robić z nich użytku zgodnie z prawem.

Dodatkowo, jeśli dobrze rozumiem, tego rodzaju identyfikację telefonu nie jest tak łatwo przeprowadzić. Musimy spełnić kilka warunków jednocześnie: wejść na stronę WWW, która zawiera kod umożliwiający obliczenie identyfikatora na bazie akcelerometru, a następnie zostawić telefon położony na stole. Zwykle gdy wchodzimy na strony to trzymamy telefon w ręku, co wyklucza wygenerowanie identyfikatora, a jeśli odkładamy telefon na stół, zwykle zamykamy przeglądarkę.

Na koniec przypomnę, że nie jest to jedyne, nietypowe wykorzystanie akcelerometru, powstał bowiem nietypowy keylogger, który potrafi z dość duża dokładnością odczytać jakie znaki zostały wybrane z klawiatury ekranowej, bazując jedynie na danych z akcelerometru, do którego dostęp nie jest chroniony w żaden sposób, w przeciwieństwie do samej klawiatury. Pisałem o tym dwa lata temu.

Więcej szczegółów na temat identyfikowania urządzeń za pomocą akcelerometru znajdzie w serwisie SFgate.