Ερευνητές ασφάλειας κατάφεραν να παρακολουθήσουν κινητά σε μετρό με ακρίβεια 90% μέσω των δεδομένων που κλέβουν από το επιταχυνσιόμετρα των Android smartphones.
Ένα έγγραφο PDF που δημοσίευσαν οι ερευνητές ασφαλείας από το ομάδα ασφαλείας με καταγωγή από το Πανεπιστήμιο Nanjing της Κίνας αναφέρει ότι με τα δεδομένα από επιταχυνσιόμετρα κίνησης τους βοηθάνε να παρακολουθήσουν τον στόχο με ακρίβεια έως και 92%.
Η μελέτη ονομάζεται “We Can Track You If You Take the Metro: Tracking Metro Riders Using Accelerometers on Smartphones” και μπορείτε να διαβάσετε από εδώ.
Οι αισθητήρες κίνησης συμπεριλαμβάνονται στα σύγχρονα smartphones. Όσον αφορά τώρα τις συσκευές Android, η ομάδα αναφέρει ότι ήταν σε θέση να τα δεδομένα του accelerator επειδή τα στοιχεία αυτά δεν απαιτούν ειδικά δικαιώματα πρόσβασης.
Οι ερευνητές συνδυάζοντας τα δεδομένα θέσης του σταθμού και του επιταχυνσιόμετρου ήταν σε θέση να προσδιορίσουν πως μετακινείται ο χρήστης. Χρησιμοποίησαν malware που τα είχαν εγκαταστήσει σε smartphones οχτώ εθελοντών. Τα malware διάβαζαν και έστελναν αυτόματα τα δεδομένα του επιταχυνσιόμετρου.
Τις δοκιμές τους τις πραγματοποίησαν στο μετρό μιας μεγάλης πόλης στη Κίνα, και οι ερευνητές ήταν σε θέση να εντοπίσουν τους χρήστες των Android χρήστες σε έξι σταθμούς με ακρίβεια έως και 92 τοις εκατό.
Η ομάδα εξηγεί:
“Θεωρούμε ότι εάν ένα άτομο με ένα smartphone που περιέχει μια κακόβουλη εφαρμογή, πάρει το μετρό, οι hackers μπορούν να χρησιμοποιήσουν το επιταχυνσιόμετρο για να τον εντοπίσουν. Η αιτία είναι ότι τα τρένα του μετρό τρέχουν σε ράγες, που κάνουν την κίνηση τους να διακρίνεται πολύ περισσότερο από τα αυτοκίνητα ή τα λεωφορεία που κινούνται σε κανονικούς δρόμους.
Είναι πιθανό ότι η κίνηση μιας αμαξοστοιχίας μεταξύ δύο γειτονικών σταθμών να παράγει (κάτι σαν) ένα χαρακτηριστικό δακτυλικό αποτύπωμα για το επιταχυνσιόμετρο μιας κινητής συσκευής, μια ευπάθεια που βοηθάει τους επιτιθέμενους να εντοπίζουν τα ίχνη ενός επιβάτη.”
Η μελέτη αναφέρει ότι η επίθεση είναι πολύ πιο αποτελεσματική και πιο ισχυρή από μια επίθεση GPS ή μέσω δικτύου κινητής τηλεφωνίας, καθώς στο μετρό τα τρένα διαταράσσουν τα κυτταρικά σήματα, και τις GPS-based εφαρμογές. Είναι γνωστό το φαινόμενο ότι δεν έχουμε σήμα στο μετρό.
Η ομάδα αναφέρει ότι η ευπάθεια επιτρέπει την καταγραφή του καθημερινού προγράμματος του θύματος. Ένας εισβολέας θα μπορούσε να διαβάσει τις καθημερινές μετακινήσεις του θύματος μέσω των μετακινήσεων του και έτσι θα ξέρει πολύ προσωπικές λεπτομέρειες, όπως πότε είναι στην εργασία του, πότε στο σπίτι του, ή σε οποιεσδήποτε άλλες δραστηριότητες.
Μετά από προσεκτική μελέτη του προγράμματος του θύματος οι κακόβουλοι χρήστες θα ήταν και σε θέση να προβλέψουν τις κινήσεις του.
Οι ερευνητές προτείνουν ότι τέτοιες επιθέσεις θα μπορούσαν να διαταραχθούν ή να προληφθούν με την εισαγωγή θορύβου στις μετρήσεις των αισθητήρων του Android που συλλέγουν πληροφορίες εντοπισμού γεωγραφικής θέσης.
Επιπλέον, η ομάδα αναφέρει ότι τα συνεχή αιτήματα για συλλογή δεδομένων θα χρειαζόταν πάρα πολύ ενέργεια, κάτι που θα φαινόταν στην χρήση μπαταρίας.