Датчики внешней освещённости могут использоваться для хищения данных из браузера

Сейчас датчики внешней освещённости присутствуют во многих смартфонах, планшетах и ноутбуках. Они измеряют уровень освещения и автоматически регулируют яркость экрана для оптимизации потребления заряда. По словам эксперта в сфере информационной безопасности Лукаша Олейника (Lukasz Olejnik), такие датчики могут использоваться для хищения данных из браузера.

Сотрудники World Wide Web Consortium (W3C) разработали специальный API, позволяющий сайтам (через браузер) взаимодействовать с датчиками внешней освещённости на устройстве пользователя, который уже используется в Chrome и Firefox.

Может, стоит отменить разрешение на доступ к датчикам?

В марте команда Google предложила исключить из системы разрешений браузера датчики внешней освещённости, наряду с гироскопом, магнитометром и акселерометром. По сути, сайты не будут запрашивать дополнительное разрешение для получения доступа к этим четырём датчикам.

Олейник и его коллега, исследователь Артур Дженк, выступили против этого предложения. Они показали серию демонстрационных роликов, доказывающих, что излучение света от экрана устройства часто считывается датчиками внешней освещённости. Мошенник может вывести вас на свой сайт или встроить зловредный код на другой сайт, определив URL посещаемых ранее страниц.

Более того, Олейник и Дженк доказали, что датчики внешней освещённости могут перехватывать QR-коды, но это занимает чуть больше времени. На сегодняшний день работа датчиков блокирована в Chrome, поскольку API ещё в статусе доработки, но они поддерживаются в Firefox через события DeviceLight.

Возможно ли предотвратить атаки?

Как пишет Олейник, избежать атак довольно просто, нужно лишь установить конкретную частоту снятия показаний датчиков. Также исследователь рекомендует производителям браузеров ограничить точность показаний, выставив конкретные пределы. Такие меры не остановят атаки, но замедлят процесс их исполнения, так что они станут совершенно непрактичны в современном мире.

Источник: Bleeping Computer