iPhone- und Android-Umgebungslichtsensoren ermöglichen heimliches Spionieren

Die Umgebungslichtsensoren, die normalerweise in intelligenten Geräten zur Anpassung der Bildschirmhelligkeit eingesetzt werden, könnten Bilder von Benutzerinteraktionen erfassen und eine einzigartige Bedrohung für die Privatsphäre darstellen, so Forscher des Robotikprogramms des MIT.

Das akademische Forschungsteam entwickelt Ein rechnergestützter Bildgebungsalgorithmus soll das potenzielle Risiko veranschaulichen und die bisher übersehene Fähigkeit dieser Sensoren hervorheben, Benutzergesten heimlich aufzuzeichnen.

Im Gegensatz zu Kameras ist es für die Sensoren nicht erforderlich, dass native Anwendungen oder Anwendungen von Drittanbietern eine Genehmigung für ihre Verwendung einholen, wodurch sie anfällig für Ausbeutung sind.

Die Forscher zeigten, dass Umgebungslichtsensoren die Berührungsinteraktionen der Benutzer, wie Scrollen und Wischen, auch während der Videowiedergabe heimlich erfassen können.

Der Prozess beinhaltet eine Inversionstechnik, bei der Lichtschwankungen mit niedriger Bitrate, die von der Hand des Benutzers blockiert werden, auf dem Bildschirm gesammelt werden.

Yang Liu, Doktorand am MIT Electrical Engineering & Computer Science Department (EECS) und CSAIL, erklärt, dass diese Sensoren eine Bedrohung für die Bilddaten darstellen könnten, wenn sie diese Informationen bereitstellen Hacker überwachen intelligente Geräte.

„Der Umgebungslichtsensor benötigt eine ausreichende Lichtintensität für eine erfolgreiche Wiederherstellung eines Handinteraktionsbildes“, erklärt er. „Die erlaubnisfreie und ständig aktive Natur von Umgebungslichtsensoren, die eine solche Bildgebungsfähigkeit bieten, wirkt sich negativ auf die Privatsphäre aus, da sich die Menschen nicht darüber im Klaren sind, dass Geräte ohne Bildgebung ein solches potenzielles Risiko bergen könnten.“

Smartphone-Umgebungssensoren: Zusätzliche Sicherheitsbedenken

Er fügt hinzu, dass eine mögliche Sicherheitsauswirkung neben dem Abhören von Berührungsgesten darin besteht, teilweise Gesichtsinformationen preiszugeben.

„Eine zusätzliche Information ist die Farbe“, erklärt er. „Heutzutage sind die meisten intelligenten Geräte mit Mehrkanal-Umgebungslichtsensoren zur automatischen Anpassung der Farbtemperatur ausgestattet – dies trägt direkt zur Farbbildwiederherstellung bei Bedrohungen der Privatsphäre bei Bildern bei.“

Der Trend der Unterhaltungselektronik zu größeren und helleren Bildschirmen kann sich ebenfalls auf diese Bedrohungsfläche auswirken, indem er die Bedrohung der Privatsphäre durch Bildverarbeitung noch akuter macht.

„Zusätzliche künstliche Intelligenz – und [großes Sprachmodell] LLM-basiert „Computergestützte Bildgebungsentwicklungen könnten auch eine Bildgebung mit nur einem Informationsbit pro Messung ermöglichen und unsere derzeitigen ‚optimistischen‘ Schlussfolgerungen zum Datenschutz völlig verändern“, warnt Liu.

Eine Lösung: Beschränkung der Informationsraten

Liu erklärt, dass softwareseitige Abhilfemaßnahmen dazu beitragen würden, die Zulassung und Informationsrate von Umgebungslichtsensoren einzuschränken.

„Konkret sollten Betriebssystemanbieter Berechtigungskontrollen für diese ‚unschuldigen‘ Sensoren hinzufügen, und zwar auf einem ähnlichen oder etwas niedrigeren Niveau als bei Kameras“, sagt er.

Um die Sensorfunktionalität mit dem potenziellen Datenschutzrisiko in Einklang zu bringen, sollte die Geschwindigkeit der Umgebungslichtsensoren laut Liu weiter auf 1–5 Hz reduziert werden Quantisierungsebene auf 10-50 Lux.

„Dies würde die Informationsrate um zwei bis drei Größenordnungen reduzieren und jegliche Gefährdung der Privatsphäre durch Bildaufnahmen wäre unwahrscheinlich“, sagt er.

IoT-Cyber-Bedrohungen im Schneeball

Aus Sicht von Bud Broomhead, CEO von Viakoo, ist die Entdeckung kein Grund zur großen Besorgnis, und er stellte fest, dass die Erfassung eines Frames von Handgesten alle 3.3 Minuten – das Ergebnis von MIT-Tests – für einen Bedrohungsakteur praktisch keinen Anreiz dazu bietet Führen Sie einen sehr anspruchsvollen und zeitaufwändigen Exploit durch.

„Es ist jedoch eine Erinnerung daran, dass alle digital verbundenen Geräte ausnutzbare Schwachstellen aufweisen können und auf ihre Sicherheit geachtet werden müssen“, sagt er. „Es erinnert daran, wie Sicherheitsforscher neue Wege finden, um Air-Gap-Systeme durch Mechanismen wie anzugreifen blinkende Lichter auf der NIC-Karte [PDF] – theoretisch interessant, aber für die meisten Menschen keine Bedrohung.“

John Bambenek, Präsident von Bambenek Consulting, sagt, dies sollte Verbraucher und Unternehmen daran erinnern, ihre Geräte und Apps darauf zu überprüfen, welche Informationen gesammelt und wie sie verwendet werden.

„Wir haben erst seit kurzem die Transparenzinstrumente, um das überhaupt zu überprüfen“, sagt er. „Forscher und Akademiker werden hoffentlich weiterhin diese Art von Arbeit leisten, um herauszufinden, wo die Lücken zwischen den Transparenzinstrumenten und dem Möglichen liegen.“

Er weist darauf hin, dass Angreifer und andere böswillige Personen ständig nach Möglichkeiten suchen, Benutzer ins Visier zu nehmen, und dass diese weniger offensichtliche Cyberangriffspfade könnte für einige attraktiv sein.

„Leider gehören dazu auch Technologieunternehmen, die einen unersättlichen Appetit auf Daten haben, um ihre neuen KI-Algorithmen zu füttern“, sagt Bambenek.

Die Bedrohung erstreckt sich über Kameras hinaus auf Muster, die durch körperliche Gesten erzeugt werden – wie ein Forscherteam der Cornell University kürzlich veröffentlichte Forschungsprojekte Beschreibung eines KI-Modells, das auf Smartphone-Tippaufzeichnungen trainiert wurde und eine Genauigkeit von 95 % beim Diebstahl von Passwörtern zeigte.

Während Forscher weitere Schwachstellen in IoT-Geräten und Betriebssystemen entdecken, die alle über immer komplexere Netzwerke verbunden sind, ist ein Problem aufgetreten erneute Betonung auf „Secure by Design“-Prinzipien, um sicherzustellen, dass die Verteidigung tiefer in die Software integriert ist.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint-security/iphone-android-ambient-light-sensors-stealthy-spying