安全動(dòng)態(tài)

廣告商可以通過手機(jī)電量跟蹤你

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-08-08    瀏覽次數(shù):
 

信息來源:FreeBuf

advertiser-location-tracker.png

根據(jù)一份普林斯頓大學(xué)研究員的報(bào)告,電池狀態(tài)已經(jīng)在一些網(wǎng)站被用來跟蹤你的在線活動(dòng)。漏洞觸發(fā)的原因是因?yàn)殡姵貭顟B(tài)API。

又是電池?

去年的時(shí)候,斯坦福大學(xué)的研究員就發(fā)表研究,他們通過電池在特定時(shí)間內(nèi)的消耗對手機(jī)用戶的物理位置進(jìn)行定位,他們把這種追蹤方法命名為PowerSpy,準(zhǔn)確度高達(dá)90%。PowerSpy利用了蜂窩傳輸服務(wù)塔消耗電量速度的不同這一點(diǎn),速度很大程度上取決于用戶與蜂窩電話塔的距離遠(yuǎn)近,以及地理?xiàng)l件上的一些障礙,通過測量電池使用情況,攻擊者就可以得到你的位置信息。

在新揭露的漏洞中,被利用的是電池狀態(tài)API。這個(gè)概念首先在HTML5中出現(xiàn),到去年八月主流瀏覽器如Firefox, Chrome和Opera都開始使用了。API的目的是讓站主看到筆記本、平板、手機(jī)上還有多少電,必要時(shí)網(wǎng)站會提供一份專門針對低電量用戶的版本。但是研究人員去年警告稱,API可能會把你的電量變成非常有特征的跟蹤標(biāo)識。

研究人員發(fā)現(xiàn),每分鐘耗掉的電量與電量百分比二者結(jié)合起來就能有1400萬種不同的可能性,基本上就可以說是針對每個(gè)設(shè)備有唯一的標(biāo)識了,這可以對他們訪問的網(wǎng)站進(jìn)行跟蹤。

通過電池狀態(tài)跟蹤你

研究員Lukasz Olejnik上周發(fā)布了一篇博文,講的就是很多公司現(xiàn)在就是在利用電量信息來挖掘一些潛在有用的信息。

“有些公司可能在分析把‘電量信息’變現(xiàn)的可能性”,博文寫道,“當(dāng)電量低的時(shí)候,用戶可能就會有些別的決定。這種情況下,他們就可能愿意為了某個(gè)服務(wù)多付點(diǎn)錢。”

研究員Engelhard和Narayanan發(fā)現(xiàn)了網(wǎng)上大量出現(xiàn)的兩段跟蹤腳本,廣告商們利用他們從電池狀態(tài)API獲取信息,并追蹤用戶。

無處不在的追蹤腳本

筆者查看論文后找到了文中提到的跟蹤腳本,這些腳本在大量的網(wǎng)站都有出現(xiàn),其中也不乏一些大公司:

js.PNG

domian.PNG

防御手段

這種攻擊最為可怕的部分是:

基本上沒有辦法防御這種攻擊。無論是刪除瀏覽器cookies還是使用VPN和AdBlocker,你電池的屬性還是不會變,因此仍然可以被跟蹤。

唯一的辦法可能就是把你的手機(jī)插到電源里去。

兩周前,Uber的經(jīng)濟(jì)分析主管Keith Chen曾經(jīng)說過,該公司一直在監(jiān)控用戶的電池狀況,因?yàn)樗溃脩綦娏坎蛔愕臅r(shí)候很可能會愿意付更高的價(jià)格租輛車。

*參考來源:THN,F(xiàn)B小編Sphinx編譯,轉(zhuǎn)載請注明來自Freebuf黑客與極客(FreeBuf.COM)

 

 
 

上一篇:公安部與騰訊達(dá)成反詐騙戰(zhàn)略合作,“麒麟”系統(tǒng)全國落地對偽基站深度治理

下一篇:2016年08月08日 聚銘安全速遞