PinMe descobre a localização do smartphone sem utilizar GPS

localização
Não permitir o acesso à localização por GPS já não é suficiente para garantir que uma app com más intenções não saiba por onde andam. No entanto investigadores já demonstraram como com uma estratégia chamada PinMe pode ser utilizada para seguir smartphones sem recurso à localização por satélite.

O PinMe (pdf link) dispensa a utilização do GPS para descobrir a localização de smartphones Android e iPhone, optando por utilizar dados que estão disponíveis sem urgência de permissões de proteção acrescidas. Para começar, o IP e rede WiFi nas proximidades são utilizados para determinar a localização aproximada do smartphobe; mas a parte curiosa traduz-se na utilização dos dados dos giroscópios, acelerómetros e barómetro (se disponível) para inferir o movimento do utilizador, “encaixando-a” em mapas do OpenStreetMap e também fazendo referência cruzada a mapas de elevação.

Como funciona o sistema de localização do smartphone sem GPS?

Mas o sistema não se fica por aqui, podendo também utilizar informação como a configuração automática do relógio a partir da rede móvel para determinar o fuso horário (e assim a localização no mundo); e dados como a temperatura, humidade e pressão para referenciar com o estado da tempo em diversos locais, para obter mais dados para validar o potencial local onde se esteja.
Como rastrear um telemóvel sem GPS – ou consentimento

Enquanto a Suprema Corte pondera sobre o caso de Carpenter vs. Estados Unidos , que pode ter consequências de longo alcance para a polícia que rastreia suspeitos sem um mandado por meio de seus telemóveles, quatro engenheiros da Universidade de Princeton revelaram um novo método para identificar o local. de um utilizador de telemóvel . O resultado de sua engenhosidade é tão notável quanto alarmante.

Utilizando apenas dados que podem ser legalmente recolhidos por um desenvolvedor de aplicativos sem o consentimento do proprietário de um telemóvel, os pesquisadores conseguiram produzir um ataque de privacidade que pode localizar com precisão a localização e a trajetória de um utilizador sem aceder o Sistema de posição global do dispositivo – GPS. E embora as ramificações dessa habilidade caiam nas mãos erradas são angustiantes, a maneira pela qual a tiraram é genial.

Para proteger a privacidade de um utilizador de telemóvel, qualquer aplicativo distribuído pelo Google Play ou pela Apple App Store deve solicitar explicitamente a permissão do utilizador antes de aceder os serviços de localização. Sabemos que, mesmo com essa funcionalidade desativada nas configurações de um telefone, as autoridades policiais podem rastrear telemóveis usando dados históricos de locais de telemóvel (identificando torres de telemóvel às quais esteve mais próximo) ou dados recolhidos por uma classe de lei dispositivos de execução coloquialmente referidos como Stingrays. Mas, como se constata, nem os dados do site de telemóvel nem os serviços de localização são necessários para rastrear um proprietário de telemóvel com precisão semelhante à do GPS.

Na verdade, tudo o que realmente precisa é da bússola interna do seu telefone, uma leitura da pressão do ar, alguns mapas gratuitos e um boletim meteorológico.

Seu telemóvel vem equipado com uma incrível variedade de sensores compactos que recolhem informações sobre o seu ambiente a qualquer momento. Um acelerômetro pode dizer o quão rápido está se movendo; um magnetômetro pode detectar sua orientação em relação ao norte verdadeiro; e um barómetro pode medir a pressão do ar em seu ambiente ao redor. Seu telefone também oferece livremente uma enorme quantidade de dados não sensoriais, como o endereço IP, o fuso horário e o status da rede do seu dispositivo (independentemente de estar ligado a um Wi-Fi ou a uma rede telemóvel).

Todos esses dados podem ser acedidos ​​por qualquer aplicativo que baixar sem o tipo de permissão necessário para aceder suas listas de contatos, fotos ou GPS. Combinados com informações disponíveis publicamente, como boletins meteorológicos, bancos de dados de especificações de aeroportos e horários de transporte, esses dados são suficientes para identificar com precisão sua localização, independentemente de estar caminhando, viajando de avião, trem ou automóvel.

Tentativas anteriores de rastrear utilizadores com dados não críticos tiveram sucesso apenas marginal. Eles foram prejudicados pelo consumo excessivo de energia – o que significa que os ataques são fáceis de detectar – ou exigiram algum conhecimento avançado da localização inicial do proprietário do telemóvel ou das rotas em potencial. Esse método recém-descoberto não requer nenhum desses.

Primeiro, para que esse ataque de privacidade específico funcione, o proprietário do telemóvel deve instalar uma aplicação para reunir as informações. Mas em um verdadeiro cenário de ameaça, a aplicação pode estar disfarçada de qualquer coisa. As 2.000 linhas de código necessárias para o ataque podem ser enterradas em algo tão inócuo como uma aplicação de lanterna (por alguma razão, as pessoas continuam baixando esses aplicativos, mesmo que quase sempre contenham malware ). a aplicação criado pelos pesquisadores para testar seu ataque foi apropriadamente chamado de “PinMe”.

Para rastrear um utilizador, primeiro precisa determinar o tipo de atividade que está realizando. É fácil dizer se uma pessoa está andando versus andando de carro, sendo a velocidade o fator discriminante; mas também, quando está andando, tende a se mover em uma direção, enquanto seu telefone é mantido em uma variedade de posições diferentes. Em um carro, faz paradas repentinas (ao frear) e tipos específicos de curvas – em torno de 90 graus – que podem ser detectadas usando o magnetômetro do seu telefone. As pessoas que viajam de avião mudam rapidamente os fusos horários; a pressão do ar em um avião também muda erradamente, o que pode ser detectado pelo barômetro de um telemóvel. Quando anda de trem, tende a acelerar em uma direção que não muda significativamente. Em outras palavras, determinar seu modo de viajar é relativamente simples.

O fato de que seu telemóvel oferece seu fuso horário e o último endereço IP ao qual estava ligado realmente reduz o tempo – é muito fácil fazer a localização geográfica dos endereços IP e, pelo menos, revelar a última cidade em que estava. localização exata, com precisão semelhante a GPS, é necessária uma grande quantidade de dados publicamente disponíveis. Para estimar sua elevação – ou seja, até onde está acima do nível do mar – o PinMe reúne dados de pressão de ar fornecidos livremente pelo Weather Channel e compara-os com a leitura no barômetro do seu telemóvel. O Google Maps e os dados de código aberto oferecidos pelos mapas do US Geological Survey também fornecem dados abrangentes sobre as mudanças na elevação da superfície da Terra. E estamos falando de pequenas diferenças na elevação de uma esquina para a próxima.

Ao detectar a atividade de um utilizador (voar, andar, etc.) a aplicação PinMe usa um dos quatro algoritmos para começar a estimar a localização de um utilizador, limitando as possibilidades até que sua taxa de erro caia para zero, de acordo com a pesquisa revisada por pares. Digamos que a aplicação decida que está viajando de carro. Conhece a sua elevação, conhece o seu fuso horário e, se não tiver saído da cidade em que esteve desde a última vez que se conectou ao Wi-Fi, está praticamente borked.

Com acesso a mapas disponíveis publicamente e boletins meteorológicos, e um barómetro e magnetómetro de telefone (que fornece um cabeçalho), é apenas uma questão de curvas. Quando o PinMe detectou um dos pesquisadores dirigindo na Filadélfia durante um teste, por exemplo, o pesquisador só precisou fazer 12 rodadas antes que a aplicação soubesse exatamente onde eles estavam na cidade. Com cada turno, o número de possíveis localizações dos veículos diminui. “Com o aumento do número de voltas, o PinMe coleta mais informações sobre o ambiente do utilizador e, como resultado, é mais provável que ele encontre um caminho único no mapa”, escreveram os pesquisadores.

Os pesquisadores oferecem sugestões para uma variedade de contramedidas que podem impedir esse tipo de rastreamento. É claro que não faria mal se os aplicativos solicitassem permissão antes de aceder informações sensoriais que agora sabemos ser confidenciais. Um método é diminuir a taxa de amostragem usada por esses sensores, quando eles não estão em uso para atividades como jogging, abaixo do necessário para uma aplicação mal-intencionado voar sob o radar (altas taxas de amostragem podem acionar a detecção de antimalware). Outra sugestão é incluir um switch físico, permitindo que os utilizadors desativem esses sensores sempre que desejarem. Naturalmente, a Apple, que é obcecadamente obcecada pela estética, provavelmente nunca acrescentaria tal recurso.

Tecnologia de localização PinMe melhor que o GPS

Os pesquisadores sugerem ainda que a técnica de localização usada pelo PinMe pode ser melhor para carros autônomos do que o GPS, que pode ser falsificado, causando naufrágios.

O problema real é que os utilizadors são efetivamente impotentes contra esse tipo de ataque. Na verdade, o tipo de alvo que o pesquisador tinha em mente quando desenvolvia sua técnica era um utilizador que é muito cauteloso sobre quais aplicativos têm permissão para aceder dados confidenciais – o tipo de pessoa que desliga seu GPS quando viaja para detalhes sobre sua rotina. não pode ser pego por ninguém que possa estar assistindo. Mais uma vez, o seu telefone não considera as leituras de pressão de ar, ou em qual direção está voltado em relação ao polo norte, para ser tão sensível.

A Lei de Privacidade e Vigilância de Geolocalização foi introduzida no Congresso, mas ainda tem que sair de um comitê ou receber muita atenção. Provavelmente não faria muito para impedir que aplicativos como o PinMe rastreassem pessoas, de qualquer forma. Talvez seja hora de os legisladores começarem a prestar atenção antes que todos os aplicativos que baixamos saibam exatamente onde nós – e eles – estamos em todos os momentos, sem nosso conhecimento ou consentimento.

A ideia é simultaneamente assustadora – se a imaginarmos a ser usada para seguir pessoas sem o o seu conhecimento nem consentimento – mas também inspiradora, já que também pode ser usada com objetivos benéficos. Por exemplo, imaginem-se todas as situações em que se pode estar sem sinal GPS (por exemplo, num túnel; ou numa situação onde não interesse estar a gastar bateria com o GPS ligado) e este sistema possibilitaria manter uma localização suficientemente fiável.

Mas uma coisa é correta… não dar permissões para aceder ao GPS, na esperança que isso impeça que uma app saiba onde estamos… é uma ilusão.

post_title
post_excerpt
Editor's Rating:
5
António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos

RECEBER GRÁTIS:

DEIXAR COMENTÁRIO:

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.
cookies

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.

Estamos a recrutar

Acreditas que podes fazer a diferença na equipa de profissionais do Informatico.pt?
Então escolhe o cargo que pretendes ocupar envia-nos o teu curriculum vitae atualizado em formato PDF.
Acompanhado do teu portefólio e/ou carta de motivação para o email [email protected].
Lembra-te de especificar, no assunto do email, o cargo para o qual te candidatas.
Ou então preenche apenas o formulário a seguir…
recrutar

Formulário DE CANDIDATURA

Formulário Agendamento

assistencia ao domicilio

Formulário Contato

formulario de contato