Пользуясь разными приложениями или сайтами, большинство людей старается не предоставлять разрешения на доступ к своему местоположению. Но что если приложение/сайт сможет экстраполировать место вашего нахождения, даже не нуждаясь в этих разрешениях?

Потенциально это уже происходит как на Android, так и на iOS устройствах, и группа исследователей безопасности продемонстрировала, что для некоторых браузеров, а также приложений, считывание датчиков движения разрешено по умолчанию. Это в свою очередь позволяет собирать компрометирующие пользователя данные.

В конце прошлого месяца исследователи из Mysk опубликовали в Твиттере обращение, рассказав, что Chrome по умолчанию предоставляет данные с датчиков движения всем сайтам, которые посещает пользователь. Более того, выяснилось, что Microsoft Edge на Android имеет аналогичный набор разрешений. На первый взгляд, это может не показаться чем-то серьезным, но на деле здесь есть тревожные подоплеки.

В блоге Mysk более развернуто разъясняются возможные сценарии применения функции акселерометра. Обычно он служит для ориентации устройства, в качестве шагомера, детектора скорости и прочего. Однако его также можно задействовать и в злонамеренных целях, например для выяснения точного расположения пользователя.

Рассмотрите такой сценарий. Вы сели в автобус по пути на работу и открыли приложение привычной социальной сети, которой ввиду осторожности не доверили разрешение на отслеживание своего местоположения. Тем не менее, в активном состоянии это приложение имеет свободный доступ к акселерометру, через который вполне может считать вибрационный паттерн окружающей среды. Автобус едет, и на очередной остановке в него заходит другой пассажир, который садится рядом с вами и открывает то же приложение, вот только он ему доверяет и данные GPS сделал доступными.

В результате это приложение потенциально может считать данные акселерометра с обоих ваших устройств и определить, что они испытывают одинаковые вибрационные паттерны (автобус трогается/останавливается, поворачивает и пр.), а значит находятся в одной среде, то есть в одном месте. Теперь приложение знает и ваше местоположение тоже. Не удивляйтесь, если оно еще и предложит этого подсевшего соседа вам в друзья.

Чтобы исключить подобную возможность, вы можете ознакомиться с предложенной в твите видеоинструкцией по отключению в Chrome разрешений доступа к датчику движения на устройствах с iOS. Для тех же, кто использует браузер Edge на Android, этот процесс аналогичен и отражен на скриншотах выше.

Что касается iOS 15, то здесь доступ к акселерометру открыт для всех приложений, и с помощью грамотного алгоритма собранную информацию может получить любое из них. 
Причем это еще не все. В качестве дополнения отмечу, что исследователям также удалось с помощью акселерометра считать вибрации динамика телефона и на их основе воссоздать речь собеседника – впечатляет?

Основное правило информационной безопасности гласит, что личные данные должны быть защищены, а значит, и доступ к акселерометру тоже нужно защитить.

Источник: по материалам ресурса