Hackeři, vývojáři aplikací ale i různé specializované agentury mohou váš telefon s Androidem využít ke zmapování místností, ve kterých se nacházíte a odhadnutí toho, co právě děláte. Chyba zabezpečení přitom využívá pouze volně přístupná data z GPS a nevyžaduje přístup ke kritickým oprávněním, tj. ke kameře, mikrofonu nebo akcelerometru. Zjištění indických vědců jsou zarážející, přesto je tato chyba pro Google natolik marginální, že ji opravit nehodlá.
GPS poloha to je zeměpisná šírka, délka a nadmořská výška...a také dalších 40 parametrů, které se používají ke zpřesnění polohy. Aplikace k nim mají přístup, a výzkumný tým ukázal, že se tato data dají zneužít různými způsoby
Samotná data z GPS obsahují informace o vaší zeměpisné šířce, délce a nadmořské výšce. Málokdo však ví, že obsahují i zhruba čtyřicet dalších metrik, které pomáhají zvýšit přesnost vaší polohy. Indičtí vývojáři vytvořili aplikaci AndroCon využívající umělou inteligenci, která zjistil tyto metriky u pěti různých modelů s Androidem, a dokázala z dat extrahovat další informace. Třeba to, kde přesně se uživatel v budově nachází, a to s 90% přesností.
GPS načrtne i plány bytů
V dalším testu měla aplikace odhalit, zda uživatel sedí, stojí, leží nebo mává na telefon, když se zjišťovala data z GPS. A to s 97% přesností! Jeden z testovaných AI modelů dokonce dokázal z polohových dat načrtnout plány místností, domů a bytů, v nichž se uživatelé pohybovali, a další zase dokázal správně identifikovat klíčové body v domácnosti, např. schody, výtahy nebo prázdné rohy místností, a to opět až s 90% pravděpodobností.
Toto jsou data, která získal výzkumný tým z mobilní aplikace pro Android, která má přístup k GPS. Jakmile došlo ke srovnání všech trajektorií a zarovnání do souřadnicového systému, na světě byl plán bytu či místnosti
Výzkumný tým sice testoval pouze Androidy, přesto uvádí, že je zranitelné jakékoliv zařízení s přístupem k různým metrikám GPS. Podle autorů AI modelů je pravděpodobné, že se doplňková data z GPS mohou už teď využívat ke sledování nic netušících uživatelů, konkrétní důkaz ale samozřejmě chybí. Podle dalšího názoru mohou doplňková data z GPS sloužit i pro lepší cílení reklam, a to podle detekce přesného pohybu uživatelů.
Pokud by tyto informace chtěl někdo opravdu zneužít, dá mu to zřejmě hodně práce. Cílem výzkumu však bylo zjištění, že to možné je. Google o tom byl informován, přesto to podle něj nestojí za to, aby tento problém zařadil do databáze známých chyb a zranitelností (CVE – Common Vulnerabilities and Exposures). Je tak jasné, že se tímto problémem zabývat nebude.
Zdroj: NewScientist, Arxiv