iPhone, Android-omgivelseslyssensorer tillater snikende spionering

Omgivelseslyssensorene som vanligvis brukes i smarte enheter for å justere skjermens lysstyrke, kan fange bilder av brukerinteraksjoner og kan utgjøre en unik personverntrussel, ifølge forskere ved MITs robotikkprogram.

Det akademiske forskerteamet utviklet en beregningsbasert bildealgoritme for å illustrere den potensielle risikoen, og fremhever den tidligere oversett muligheten til disse sensorene til å registrere brukerbevegelser i det skjulte.

I motsetning til kameraer, krever ikke sensorene innfødte eller tredjepartsapplikasjoner for å søke tillatelse for bruken, noe som gjør dem sårbare for utnyttelse.

Forskerne demonstrerte at omgivelseslyssensorer i hemmelighet kan fange opp brukernes berøringsinteraksjoner, for eksempel rulling og sveiping, selv under videoavspilling.

Prosessen involverer en inversjonsteknikk, som samler lysvariasjoner med lav bithastighet blokkert av brukerens hånd på skjermen.

Yang Liu, en doktorgrad ved MIT Electrical Engineering & Computer Science Department (EECS) og CSAIL, forklarer at disse sensorene kan utgjøre en personverntrussel ved å gi denne informasjonen til hackere som overvåker smarte enheter.

"Omgivelseslyssensoren trenger et tilstrekkelig nivå av lysintensitet for en vellykket gjenoppretting av et håndinteraksjonsbilde," forklarer han. "Den tillatelsesfrie og alltid-på-naturen til omgivelseslyssensorer som utgjør en slik avbildningsevne, påvirker personvernet ettersom folk ikke er klar over at enheter som ikke er bildebehandlinger kan ha en slik potensiell risiko."

Omgivende smarttelefonsensorer: Ytterligere sikkerhetsbekymringer

Han legger til at en potensiell sikkerhetsimplikasjon ved siden av avlytting av berøringsbevegelser er å avsløre delvis ansiktsinformasjon.

"En tilleggsinformasjon er farge," forklarer han. "De fleste smarte enheter i dag er utstyrt med flerkanals omgivelseslyssensorer for automatisk fargetemperaturjustering - dette bidrar direkte til gjenoppretting av fargebilder for avbildning av personverntrusler."

Trenden med forbrukerelektronikk som forfølger større og lysere skjermer kan også påvirke denne trusseloverflaten ved å gjøre personverntrusselen mer akutt.

«Ytterligere kunstig intelligens- og [stor språkmodell] LLM-drevet Utviklingen av databasert bildebehandling kan også gjøre bildebehandling med så lite som én bit informasjon per måling mulig, og fullstendig endre våre nåværende 'optimistiske' personvernkonklusjoner,» advarer Liu.

En løsning: Begrense informasjonspriser

Liu forklarer at avbøtende tiltak på programvaresiden vil bidra til å begrense tillatelsen og informasjonshastigheten til sensorer for omgivelseslys.

"Spesielt, for operativsystemleverandører, bør de legge til tillatelseskontroller til de 'uskyldige' sensorene, på et lignende eller litt lavere nivå enn kameraer," sier han.

For å balansere sensorfunksjonalitet med den potensielle personvernrisikoen, sier Liu at hastigheten til sensorer for omgivelseslys bør reduseres ytterligere til 1-5 Hz og kvantiseringsnivå til 10-50 lux.

"Dette vil redusere informasjonshastigheten med til to til tre størrelsesordener, og eventuelle imaging personverntrusler ville være usannsynlig," sier han.

IoT Cyber ​​Threats Snowball

Fra Bud Broomheads perspektiv, administrerende direktør i Viakoo, er ikke oppdagelsen grunn til stor bekymring, og han bemerket at fangst av én ramme med håndbevegelser hvert 3.3 minutt – resultatet i MIT-testing – gir praktisk talt ingen insentiv for en trusselaktør til å utføre en svært sofistikert og tidkrevende utnyttelse.

"Det er imidlertid en påminnelse om at alle digitalt tilkoblede enheter kan ha utnyttbare sårbarheter og trenger oppmerksomhet på sikkerheten deres," sier han. «Det minner om når sikkerhetsforskere finner nye måter å angripe luftgapte systemer på gjennom mekanismer som blinkende lys på NIC-kortet [PDF] - interessant i teorien, men ikke en trussel for folk flest."

John Bambenek, president i Bambenek Consulting, sier at dette bør være en påminnelse for forbrukere og bedrifter om å sjekke enhetene og appene deres for hvilken informasjon som samles inn og hvordan den brukes.

"Vi har først nylig fått åpenhetsverktøyene for å sjekke det," sier han. "Forskere og akademikere vil forhåpentligvis fortsette å gjøre denne typen arbeid for å finne ut hvor gapene er mellom åpenhetsverktøyene og hva som er mulig."

Han påpeker at angripere og andre ondsinnede individer hele tiden leter etter måter å målrette brukere på, og at disse mindre åpenbare veier for nettangrep kan være attraktivt for noen.

"Dessverre inkluderer det også teknologiselskaper som har en glupsk appetitt på data for å mate sine nye AI-algoritmer," sier Bambenek.

Trusselen strekker seg utover kameraer til mønstre laget av fysiske bevegelser - et team av forskere ved Cornell University nylig publisert forskning detaljer om en AI-modell trent på smarttelefonskriving, som viste en 95% nøyaktighet når det gjaldt å stjele passord.

Etter hvert som forskere oppdager flere feil i IoT-enheter og operativsystemer – som alle er koblet sammen gjennom stadig mer komplekse nettverk, har det vært en fornyet vekt på prinsipper for sikker design for å sikre at forsvar er dypere integrert i programvare.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/endpoint-security/iphone-android-ambient-light-sensors-stealthy-spying