Sécurité

Une API largement fiable permet aux cyber-espions de prendre les empreintes digitales de la batterie de votre appareil – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Il existe de nombreuses façons de suivre un appareil. Vous pouvez suivre son adresse physique sur Internet, mais cela peut être masqué. Vous pouvez suivre les profils et les identifiants utilisés pour accéder aux différents services en ligne, mais ceux-ci peuvent être déconnectés et évités. Vous pouvez même installer des trackers matériels et logiciels actifs, mais ceux-ci peuvent être trompés ou supprimés.

Dans l’ensemble, cependant, la capacité à suivre les appareils, les profils de service et les logiciels malveillants ciblés se traduit par une capacité presque parfaite à suivre une cible. Le plus gros problème est de combler de petites périodes au cours desquelles le suivi a diminué – cette L’adresse IP tombe à cette le temps, alors ce l’appareil se connecte via Tor Réseau à ce temps. Comment corrélez-vous les deux, afin qu’ils forment une seule histoire contiguë? Vous utilisez des techniques d’identification spécialisées comme celle dévoilée cette semaine par des chercheurs français et belges.

La technique fonctionne en utilisant un logiciel de bas niveau désormais standard appelé le API d’état de la batterie, une fonctionnalité HTML5 prise en charge par Chrome, Firefox et Opera. Cette API peut être utilisée pour suivre précisément le niveau de la batterie d’un smartphone, d’une tablette ou d’un ordinateur portable, ainsi que ses temps de charge et de décharge. Sur de courts intervalles (entre les charges), ces données peuvent agir comme une sorte d’empreinte digitale pour aider à identifier l’appareil et à corréler l’activité d’un appareil avec l’activité d’un autre, montrant qu’il s’agit en fait du même appareil utilisant différentes méthodes de connexion.

Ce type d'informations peut être unique, si elles sont suivies avec suffisamment de précision.

Ce type d’informations peut être unique, si elles sont suivies avec suffisamment de précision.

Les batteries plus anciennes constituent de meilleurs identifiants, car elles ont des niveaux de charge plus uniques – les batteries fraîchement sorties de l’usine ont tendance à être beaucoup plus similaires, donc plus difficiles à distinguer en fonction de leurs caractéristiques de charge.

Le World Wide Web Consortium (W3C) classe les données de la batterie comme non cruciales pour la sécurité et les a spécifiquement ouvertes aux développeurs de logiciels sans qu’il soit nécessaire de demander la permission de l’utilisateur. Cela fait des données de niveau de batterie une cible attrayante pour les mineurs de données, qui n’ont pas à alerter les navigateurs de leur intérêt. S’il pouvait être utilisé pour identifier les navigateurs sur un site spécifique, il constituerait un outil puissant pour les cyber-détectives.

Psssssst :  Air Force One met enfin à niveau son système téléphonique de l'ère Reagan des années 1980

Les chercheurs ont déclaré que l’API pourrait être rendue beaucoup plus sécurisée simplement en l’aggravant ; réduisez la précision avec laquelle il suit les différents niveaux de la batterie et «l’empreinte digitale» deviendra floue au point de devenir inutile. Pendant ce temps, la plupart d’entre nous n’ont pas besoin de Firefox pour prédire les tendances de notre batterie jusqu’à la seconde, il y a donc peu de perte fonctionnelle pour l’utilisateur. Ils ont soumis un rapport de bogue à Firefox et « un correctif a été déployé ».

L'énorme batterie de l'iPhone 6 Plus

L’énorme batterie de l’iPhone 6 Plus, avec 2 915 mAh [Image credit: iFixit]

Ces types d’attaques contre la vie privée sont importants car, bien que grossiers, ils remplacent également toute tentative de dissimulation d’une signature en ligne. L’activation du réseau Tor ne modifie pas la capacité de votre batterie, et l’utilisation d’un VPN ne vous rend pas soudainement tapez et faites défiler différemment. Les capteurs biométriques devenant de plus en plus courants dans l’électronique grand public, la capacité d’identifier une personne, par opposition à un profil électronique, n’a jamais été aussi profonde.

Au fur et à mesure que les mesures de sécurité disponibles deviennent plus élaborées (et dans le monde post-Snowden, mieux à même d’échapper à une menace connue), les attaques devront être non seulement meilleures, mais plus subtiles. L’enfouissement d’un exploit zero-day dans le logiciel de base de toute l’informatique moderne est certainement un bon début, mais les statistiques d’utilisation ont la capacité d’ignorer toutes les informations d’adressage et peut-être même d’aider à suivre les utilisateurs lorsqu’ils se déplacent. entre dispositifs.

Bouton retour en haut de la page