Hoe malware uw smartphone kan volgen zonder locatiegegevens te gebruiken

Locatiegegevens worden door veel smartphonegebruikers streng bewaakt. Niemand wil denken dat ze worden gevolgd, ook al hebben ze de technologie om dit in hun eigen zak te doen.





Dat is de reden waarom het Android- en iOS-besturingssysteem voorkomen dat apps van derden toegang krijgen tot locatiegegevens zonder de specifieke toestemming van de gebruiker. Maar het blijkt dat malware je toch kan volgen, zonder deze gegevens.

Tegenwoordig zeggen Yan Michalevsky van de Stanford University in Californië en enkele vrienden dat kwaadaardige software de positie van een smartphone kan bepalen door simpelweg te meten hoe deze de stroom verbruikt. Onze aanpak maakt bekende route-identificatie, realtime tracking en identificatie van een nieuwe route mogelijk door alleen het stroomverbruik van de telefoon te analyseren, zeggen ze.

De techniek is in theorie eenvoudig. Het idee is dat het stroomverbruik van een smartphone grotendeels afhangt van de afstand tot het dichtstbijzijnde basisstation.



Naarmate een gebruiker beweegt, verandert deze afstand, waardoor het vermogen dat nodig is om met een basisstation te communiceren toeneemt of afneemt. Het stroomverbruikprofiel is dus sterk gecorreleerd met de beweging van de telefoon, of met andere woorden, met de route die de eigenaar neemt. Gezien verschillende mogelijke routes, zou het stroomverbruikprofiel moeten onthullen welke de gebruiker heeft genomen.

Er zijn een paar kanttekeningen. De eerste is dat de gebruiker moet bewegen. Het stroomverbruikprofiel heeft geen zin om de locatie van een vaste telefoon te bepalen. De tweede is dat deze techniek onderscheid maakt tussen verschillende routes waarvan de afluisteraar onafhankelijke kennis moet hebben.

Om erachter te komen hoe goed deze techniek in de praktijk werkt, hebben Michalevsky en co een Android-app gemaakt, PowerSpy genaamd, die het stroomverbruik meet. Ze hebben het vervolgens getest op een aantal Nexus 4-apparaten. In totaal namen ze 43 verschillende stroomverbruiksprofielen op vier verschillende routes van elk ongeveer 14 kilometer lang.



Vervolgens analyseerden ze de stroomverbruikprofielen om te zien of ze konden bepalen welke route voor elk was genomen. Het bleek dat ze dit met een nauwkeurigheid van 93 procent konden doen.

Dat is best goed, aangezien er de hele dag door altijd ruis is in de vorm van stroom die door andere apps wordt gebruikt. Dat blijkt weinig uit te maken. Michalevsky en co zeggen dat het relatief eenvoudig is om het geluid te negeren omdat het niet gecorreleerd is met de routes. We hebben laten zien dat applicaties die de ampèremeter van de telefoon lezen, informatie kunnen krijgen over de locatie van een mobiel apparaat zonder toegang tot de GPS of andere grove locatie-indicatoren, zeggen ze.

Dus wat kan er worden gedaan om dit soort spionage te voorkomen? Michalevsky en co hebben een aantal ideeën overwogen. Een optie is om te voorkomen dat apps toegang krijgen tot stroomverbruiksgegevens, hoewel dit waarschijnlijk overdreven is. Een betere optie is om apps toegang te geven tot andere stroomverbruiksgegevens dan die welke betrokken zijn bij radiocommunicatie. We stellen voor dat het leveren van alleen metingen van het stroomverbruik van de processors (exclusief het stroomverbruik door de TX/RX-keten) een redelijke afweging zou kunnen zijn tussen functionaliteit en privacy, zeggen ze.



Dat zou eenvoudig te implementeren moeten zijn, als Android of iOS daar last van heeft.

Het werk van Michalevsky en co biedt een interessante kijk op privacy en hoe deze zo gemakkelijk kan worden ondermijnd. Stroomverbruik - wie had dat gedacht! Het is ook een waarschuwing dat welke stappen er ook worden genomen om persoonlijke gegevens te beschermen, er altijd manieren zullen zijn waarop deze onverwachts kunnen lekken.

Referentie: arxiv.org/abs/1502.03182 : PowerSpy: Locatie volgen met behulp van Power Analysis van mobiele apparaten



zich verstoppen