Датчики освітлення в смартфонах дозволяють шпигувати за користувачами — дослідження MIT
Навіть якщо ви вимкнете мікрофон, заклеїте камеру та користуєтесь VPN, це не врятує від потенційного стеження через звичайний датчик освітлення.
Навіть якщо ви вимкнете мікрофон, заклеїте камеру та користуєтесь VPN, це не врятує від потенційного стеження через звичайний датчик освітлення.
Учені з Массачусетського технологічного інституту довели: через звичайний Ambient Light Sensor (ALS), який автоматично регулює яскравість екрана, можна стежити за діями користувача на екрані. Про це йдеться в дослідженні, опублікованому в журналі Science Advances.
Команда розробила атаку під назвою «LightSpy», яка дозволяє перетворити безпечний, як вважалося, датчик на інструмент спостереження. Вони використали дані з ALS звичайного Android-планшета, щоб зібрати інформацію про жести користувача — свайпи, кліки, прокручування. Потім нейромережа навчилася розпізнавати ці рухи з точністю, достатньою для відтворення взаємодії з пристроєм.
Важливо, що датчик освітлення неможливо відключити програмно: його активність не регулюється системними дозволами, як мікрофон чи камера. До того ж він присутній майже в усіх сучасних смартфонах, планшетах і ноутбуках.
Трохи більше про датчики ALS
Ambient Light Sensor — це фотодатчик, що зазвичай використовується для автоматичного регулювання яскравості екрана. Але через свою чутливість до змін освітлення та точність у фіксації навіть мікрорухів він може стати неочікуваним джерелом витоку приватної інформації. Це дослідження — одне з перших, яке детально показує, як звичайна hardware-функція може бути використана в атаках типу side-channel без фізичного доступу до пристрою.
Науковці продемонстрували практичну реалізацію атаки в умовах повсякденного використання, де браузер запускає шкідливий JavaScript-код. Після короткого періоду спостереження система вже здатна відтворювати поведінку користувача на сайтах, зокрема вводити текст, ідентифікувати натискання кнопок тощо.
Один із найнебезпечніших моментів — користувач не отримує жодних попереджень про використання цього датчика, а сам процес не залишає слідів у системі.
Дослідники закликають виробників операційних систем та браузерів внести обмеження на доступ до ALS, зокрема — надавати користувачам можливість його блокування або контролю.
Нагадаємо, нещодавно у нашій стрічці виходив матеріал про те, як Microsoft заборонила своїм працівникам використовувати застосунок DeepSeek через побоювання витоку даних до Китаю.
Співробітник Apple подав позов на компанію за шпигунство через особисті облікові записи iCloud і неробочі пристрої
Співробітник Apple подав позов на компанію за шпигунство через особисті облікові записи iCloud і неробочі пристрої
Група розвідки загроз Google повідомляє, що російські хакери винайшли нові способи шпигувати за обліковими записами українських військових у Signal
Група розвідки загроз Google повідомляє, що російські хакери винайшли нові способи шпигувати за обліковими записами українських військових у Signal
Студент-програміст вкрав шпигунське ПЗ за два дні до завершення стажування у Британській спецслужбі: тепер за свою «дурість» може потрапити за ґрати
Студент-програміст вкрав шпигунське ПЗ за два дні до завершення стажування у Британській спецслужбі: тепер за свою «дурість» може потрапити за ґрати
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
