Обычный датчик смартфона может шпионить за вами: исследователи обнаружили новую угрозу

Функция автоматической регулировки яркости, которая присутствует почти на каждом современном смартфоне, оказалась потенциальной угрозой конфиденциальности пользователей. Речь идет о датчике наружного освещения (ALS), который до сих пор считался абсолютно безопасным — но новое исследование доказывает обратное.

Результаты опубликованы в журнале Science Advances.

Команда исследователей разработала экспериментальную атаку под названием LightSpy, которая превращает ALS в инструмент для слежения. Датчик, автоматически измеряющий уровень освещения, оказался способным передавать данные о жестах пользователя — нажатия, свайпы, прокрутки.

Это стало возможным благодаря нейросети, обучаемой на данных из обычного Android-устройства. Алгоритм изучил шаблоны изменений освещения на экране во время взаимодействия пользователя с гаджетом и впоследствии научился воспроизводить его действия с высокой точностью.

Исследователи смоделировали сценарий, в котором вредоносный код на обычном вебсайте (например, через JavaScript в браузере) запускает наблюдение. После непродолжительного мониторинга система способна имитировать действия пользователя, включая ввод текста или нажатие кнопок.

В чем угроза

• Доступ к ALS не требует разрешения пользователя.

• Его нельзя отключить из-за стандартных настроек.

• Атака не оставляет следов в системе безопасности устройства.

Что предлагают исследователи

Авторы работы советуют производителям мобильных ОС:

• ввести дополнительные разрешения на доступ к ALS, как это сделано с микрофоном или камерой;

• ограничить частоту и точность передачи данных по этому датчику;

• изменить расположение ALS – не напротив лица пользователя, чтобы снизить риск считывания движений.

"Необходимо пересмотреть подходы к конфиденциальности, даже когда речь идет о якобы "невинных" датчиках", - отмечают авторы исследования.