iPhone, Android Ambient Light Sensors tillåter smygspionering

De omgivande ljussensorerna som vanligtvis används i smarta enheter för att justera skärmens ljusstyrka kan fånga bilder av användarinteraktioner och kan utgöra ett unikt integritetshot, enligt forskare vid MIT:s robotprogram.

Den akademiska forskargruppen utvecklade en beräkningsavbildningsalgoritm för att illustrera den potentiella risken, som lyfter fram den tidigare förbisedda förmågan hos dessa sensorer att i hemlighet registrera användargester.

Till skillnad från kameror kräver sensorerna inte inbyggda eller tredjepartsapplikationer för att söka tillstånd för deras användning, vilket gör dem sårbara för exploatering.

Forskarna visade att sensorer för omgivande ljus i hemlighet kan fånga användarnas beröringsinteraktioner, såsom rullning och svep, även under videouppspelning.

Processen involverar en inversionsteknik, som samlar in ljusvariationer med låg bithastighet som blockeras av användarens hand på skärmen.

Yang Liu, doktor vid MIT Electrical Engineering & Computer Science Department (EECS) och CSAIL, förklarar att dessa sensorer kan utgöra ett hot mot integritetsbilden genom att tillhandahålla den informationen till hackare som övervakar smarta enheter.

"Omgivningsljussensorn behöver en adekvat nivå av ljusintensitet för en framgångsrik återställning av en handinteraktionsbild", förklarar han. "Den tillståndsfria och alltid påslagna karaktären hos sensorer för omgivande ljus som utgör en sådan bildkapacitet påverkar integriteten eftersom människor inte är medvetna om att icke-avbildande enheter kan ha en sådan potentiell risk."

Omgivande smartphonesensorer: Ytterligare säkerhetsproblem

Han tillägger att en potentiell säkerhetskonsekvens förutom att avlyssna beröringsgester är att avslöja partiell ansiktsinformation.

"En ytterligare information är färg", förklarar han. "De flesta smarta enheter idag är utrustade med flerkanaliga omgivande ljussensorer för automatisk färgtemperaturjustering - detta bidrar direkt till färgbildsåterställning för avbildning av integritetshot."

Trenden att konsumentelektronik eftersträvar större och ljusare skärmar kan också påverka denna hotyta genom att göra hotet om integritet av bilder mer akut.

”Ytterligare artificiell intelligens- och [stor språkmodell] LLM-driven Utveckling av beräkningsavbildning kan också göra bildbehandling med så lite som en bit information per mätning möjlig och helt förändra våra nuvarande "optimistiska" sekretessslutsatser”, varnar Liu.

En lösning: Begränsa informationspriser

Liu förklarar att begränsningsåtgärder på mjukvarusidan skulle hjälpa till att begränsa tillstånds- och informationshastigheten för sensorer för omgivande ljus.

"Särskilt, för leverantörer av operativsystem bör de lägga till behörighetskontroller till dessa "oskyldiga" sensorer, på en liknande eller något lägre nivå än kameror, säger han.

För att balansera sensorfunktionalitet med den potentiella integritetsrisk, säger Liu att hastigheten för sensorer för omgivande ljus bör minskas ytterligare till 1-5 Hz och kvantiseringsnivå till 10-50 lux.

"Detta skulle minska informationshastigheten med till två till tre storleksordningar och eventuella avbildningsintegritetshot skulle vara osannolikt", säger han.

IoT cyberhot Snowball

Ur Bud Broomheads perspektiv, VD på Viakoo, är upptäckten inte anledning till stor oro, och han noterade att fånga en bildruta med handgester var 3.3:e minut - resultatet i MIT-testning - ger praktiskt taget inget incitament för en hotaktör att utföra en mycket sofistikerad och tidskrävande exploatering.

"Men det är en påminnelse om att alla digitalt anslutna enheter kan ha exploateringsbara sårbarheter och behöver uppmärksamhet på sin säkerhet", säger han. "Det påminner om när säkerhetsforskare hittar nya sätt att attackera system med luftgap genom mekanismer som blinkande lampor på NIC-kortet [PDF] - intressant i teorin men inte ett hot mot de flesta."

John Bambenek, VD på Bambenek Consulting, säger att detta borde vara en påminnelse för konsumenter och företag att kontrollera sina enheter och appar för vilken information som samlas in och hur den används.

"Vi fick först nyligen transparensverktygen för att till och med kontrollera det", säger han. "Forskare och akademiker kommer förhoppningsvis att fortsätta att göra den här typen av arbete för att ta reda på var klyftorna finns mellan transparensverktygen och vad som är möjligt."

Han påpekar att angripare och andra illvilliga individer ständigt letar efter sätt att rikta in sig på användare, och att dessa mindre uppenbara cyberangreppsvägar kan vara attraktivt för vissa.

"Tyvärr inkluderar det också teknikföretag som har en glupsk aptit på data för att mata sina nya AI-algoritmer," säger Bambenek.

Hotet sträcker sig bortom kameror till mönster gjorda av fysiska gester - ett team av forskare vid Cornell University publicerade nyligen forskning beskriver en AI-modell som tränats på smarttelefonskrivposter, som uppvisade en 95 % noggrannhet när det gäller att stjäla lösenord.

När forskare upptäcker ytterligare brister i IoT-enheter och operativsystem – som alla är anslutna via allt mer komplexa nätverk, har det funnits en förnyad betoning om säkra genom designprinciper för att säkerställa att försvaret är djupare integrerat i programvaran.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/endpoint-security/iphone-android-ambient-light-sensors-stealthy-spying