通过消耗电量速度判断位置 手机电量可以追踪你
我要评论
根据一份普林斯顿大学研究员的报告,电池状态已经在一些网站被用来跟踪你的在线活动。漏洞触发的原因是因为电池状态API。
又是电池?
去年的时候,斯坦福大学的研究员就曾发表研究,他们通过电池在特定时间内的消耗对手机用户的物理位置进行定位,他们把这种追踪方法命名为PowerSpy,准确度高达90%。PowerSpy利用了蜂窝传输服务塔消耗电量速度的不同这一点,速度很大程度上取决于用户与蜂窝电话塔的距离远近,以及地理条件上的一些障碍,通过测量电池使用情况,攻击者就可以得到你的位置信息。
在新揭露的漏洞中,被利用的是电池状态API。这个概念首先在HTML5中出现,到去年八月主流浏览器如Firefox, Chrome和Opera都开始使用了。API的目的是让站主看到笔记本、平板、手机上还有多少电,必要时网站会提供一份专门针对低电量用户的版本。但是研究人员去年警告称,API可能会把你的电量变成非常有特征的跟踪标识。
研究人员发现,每分钟耗掉的电量与电量百分比二者结合起来就能有1400万种不同的可能性,基本上就可以说是针对每个设备有唯一的标识了,这可以对他们访问的网站进行跟踪。
通过电池状态跟踪你
研究员Lukasz Olejnik上周发布了一篇博文,讲的就是很多公司现在就是在利用电量信息来挖掘一些潜在有用的信息。
“有些公司可能在分析把‘电量信息’变现的可能性”,博文写道,“当电量低的时候,用户可能就会有些别的决定。这种情况下,他们就可能愿意为了某个服务多付点钱。”
研究员Engelhard和Narayanan发现了网上大量出现的两段跟踪脚本,广告商们利用他们从电池状态API获取信息,并追踪用户。
无处不在的追踪脚本
小编查看论文后找到了文中提到的跟踪脚本,这些脚本在大量的网站都有出现,其中也不乏一些大公司:
防御手段
这种攻击最为可怕的部分是:
基本上没有办法防御这种攻击。无论是删除浏览器cookies还是使用VPN和AdBlocker,你电池的属性还是不会变,因此仍然可以被跟踪。
唯一的办法可能就是把你的手机插到电源里去。
两周前,Uber的经济分析主管Keith Chen曾经说过,该公司一直在监控用户的电池状况,因为它知道,用户电量不足的时候很可能会愿意付更高的价格租辆车。
相关文章
怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?
Android系统服务即由Android提供的各种服务,比如WIFI,多媒体,短信等等,几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时,也存在着一些风险2017-03-14- 通过电池在特定时间内的消耗对手机用户的物理位置进行定位,他们把这种追踪方法命名为PowerSpy,准确度高达90%,PowerSpy利用了蜂窝传输服务塔消耗电量速度的不同这一点,2016-08-08
- 如何保护手机安全,我今天想和大家分享一下,希望让这些可恶的病毒,再也不能危害到大家,我总结了5个方面,今天和大家分享一下希望有所帮助吧2016-08-03
- 最近参加了一个夜跑活动,活动结束后到终点扫描二维码摇一摇,所有人都摇到了纪念奖。可是我想要一等奖啊!谁不想在摇一摇里得到一等奖?一起来看看下面这位黑客的做法,能2016-07-23
- 当你打开应用市场想要下载一个功能性的APP,搜索结果出来后是不是都要看一下旁边的下载量?有时候还会看一下用户评论,那么,下载量大的就是好的吗?真的大家都在下吗?今2016-07-13
精灵宝可梦go游戏可能存在风险 软件需要google账号完整权限
《Pokémon Go》是任天堂 Pokémon(中译名口袋妖怪、宠物小精灵、精灵宝可梦)系列目前最火的游戏,可是这款游戏在国外网友眼中手机上要的权限未免过大了,我想这篇文章你2016-07-12- 现在想换个手机越来越麻烦,很多APP要重新下,手机里保存的宝贝也要转移,有时候这些事情甚至让我放弃了换个更好的手机的想发,更不用说换手机号了。各种网站、邮箱、账号2016-07-11
- 本以为有了手机短信验证应该很安全了,没想到银行卡里的钱还是能被刷走,关键是一条短信都没收到。到底是怎么回事?原来是手机木马搞得鬼,很多奇怪的第三方软件作为木马拦2016-06-13
- 如果你给自己的手机设置了PIN码,甚至忘记了连自己也解不开;又或者设置了比划甚至指纹解锁,然后以为这样的手机就是安全的了。是的,对于一般的人来说算安全了,可是对于2016-06-03
- 在缺乏大量预算的前提下要怎样追踪网络入侵者?这里有一个廉价的解决办法:一旦架构建立并且数据开始收集,网络防御者可以在这些被动DNS数据上执行大范围的分析来追踪网络2016-06-01
最新评论