Hur skadlig programvara kan spåra din smartphone utan att använda platsdata

Platsdata bevakas noga av många smartphoneanvändare. Ingen vill tro att de spåras även om de har tekniken för att göra det i sina egna fickor.





Det är därför som operativsystemen Android och iOS förhindrar tredjepartsappar från att komma åt platsdata utan användarens särskilda tillstånd. Men det visar sig att skadlig programvara kan spåra dig ändå, utan denna data.

Idag säger Yan Michalevsky vid Stanford University i Kalifornien och få kompisar att skadlig programvara kan bestämma positionen för en smartphone helt enkelt genom att mäta hur den använder kraften. Vårt tillvägagångssätt möjliggör känd ruttidentifiering, realtidsspårning och identifiering av en ny rutt genom att endast analysera telefonens strömförbrukning, säger de.

Tekniken är okomplicerad i teorin. Tanken är att en smartphones strömanvändning till stor del beror på avståndet från närmaste basstation.



När en användare rör sig ändras detta avstånd, vilket ökar eller minskar den effekt som behövs för att kommunicera med en basstation. Så strömanvändningsprofilen är starkt korrelerad med telefonens rörelse, eller med andra ord, med den rutt som dess ägare tog. Med tanke på flera olika potentiella vägar bör strömanvändningsprofilen avslöja vilka användaren har tagit.

Det finns ett par varningar. Den första är att användaren måste röra sig. Strömanvändningsprofilen är ingen användning för att identifiera platsen för en stationär telefon. Det andra är att denna teknik skiljer mellan olika vägar som avlyssnaren måste ha oberoende kunskap om.

För att ta reda på hur väl den här tekniken fungerar i praktiken skapade Michalevsky och co en Android-app som heter PowerSpy som mäter strömförbrukningen. De testade den sedan på ett antal Nexus 4-enheter. Totalt tog de 43 olika strömanvändningsprofiler på fyra olika sträckor vardera cirka 14 kilometer långa.



De analyserade sedan strömanvändningsprofilerna för att se om de kunde avgöra vilken väg som hade tagits för var och en. Det visade sig att de kunde göra detta med en noggrannhet på 93 procent.

Det är ganska bra, med tanke på att det alltid finns brus i form av kraft som används av andra appar under hela dagen. Det visar sig ha liten betydelse. Michalevsky och co säger att det är relativt enkelt att ignorera bullret eftersom det inte är korrelerat med sträckorna. Vi visade att applikationer som läser telefonens amperemätare kan få information om platsen för en mobil enhet utan att komma åt GPS eller andra grova platsindikatorer, säger de.

Så vad kan man göra för att förhindra denna typ av spioneri? Michalevsky och co har funderat på ett antal idéer. Ett alternativ är att förhindra att appar överhuvudtaget får tillgång till energianvändningsdata, även om detta förmodligen är överdrivet. Ett bättre alternativ är att ge appar tillgång till andra energianvändningsdata än de som är involverade i radiokommunikation. Vi föreslår att det kan vara en rimlig avvägning mellan funktionalitet och integritet att endast tillhandahålla mätningar av ström som förbrukas av processorerna (exklusive ström som förbrukas av TX/RX-kedjan).



Det borde vara enkelt att implementera, om Android eller iOS kan störas.

Michalevsky och cos arbete ger en intressant syn på integritet och hur det så lätt kan undergrävas. Strömanvändning - vem hade trott! Det är också en varning om att vilka åtgärder som än vidtas för att skydda personuppgifter, kommer det alltid att finnas sätt som kan läcka oväntat.

Ref: arxiv.org/abs/1502.03182 : PowerSpy: Platsspårning med hjälp av Power Analysis för mobila enheter



Dölj