Salut,
Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.
L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit sans se déplacer).
En 2012, Owusu et al montraient qu'il est possible d'inférer le mot de passe de déverrouillage de l'écran grâce aux accéléromètres, et bien Hua et al viennent de montrer que l'on peut déterminer quel est le bout de la ligne de métro utilisée par un utilisateur grâce aux accéléromètres.
L'idée étant d'utiliser la régularité des mouvements du métro (accélérations, freinage et dues au parcours) pour déterminer les allés et venues d'un utilisateur. Hua et al ont obtenu une précision d'environ 90 % pour un trajet de 4 à 6 stations de long au sein du métro de la ville de Nanjing, en Chine.
Est-ce grave ?
Comme ils le notent dans leur article, la concomitance et la régularité de certaines actions permet d'inférer pas mal de choses sur l'utilisateur (vers où il travaille, vers où il habite, certaines habitudes, voire avec qui il a des chance d'être proche).
Bref, comme toujours, en matière de sécurité, toute nouvelle fonctionnalité est une source potentielle d'attaques (dans la quasi totalité des cas en fait).
# hop
Posté par fearan . Évalué à 2.
Seulement? J'aurais plutôt dit qu'ils auraient pu avoir un truc proche de 99% si on rajoute les escaliers et les nombres de pas, mais bon c'est mon expérience du métro parisien, peut être que ceux de la ville de test sont plus identique ;)
Par contre c'est "juste" une façon supplémentaire de plus de tracer l'utilisateur, si on veut éviter de l'être suffit de ne pas prendre le portable.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: hop
Posté par Jiehong (site web personnel) . Évalué à 3.
Tu peux toujours le prendre avec toi, mais il faut l'éteindre et le mettre dans un sac de Faraday.
Mais c'est plus simple de ne pas le prendre, c'est sûr ^
[^] # Re: hop
Posté par cfx . Évalué à 5.
Je me souviens d'une phrase du "chairman" lors de l'ouverture d'une conf : si votre algo a une précision inférieure à 90%, alors il est nul; au delà de 90%, vos résultats sont probablement pipeautés.
A prendre au second degré bien sûr.
[^] # Re: hop
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 08 juin 2015 à 17:24.
Heureusement que t'as précisé on aurait pu avoir un doute :)
[^] # Re: hop
Posté par par . Évalué à 4.
Mais non : Il veut dire qu'il faut une précision de 90% exactement (ni plus, ni moins) pour que ce soit bon !
[^] # Re: hop
Posté par GG (site web personnel) . Évalué à 3.
Pour contrer tout ça, tu relie ton portable à la roue de la cage à hamster que tu trimbales toujours avec toi. Tu t'arranges pour que le hamster joue assez souvent avec la roue. Évite de donner au hamster de la "poudre de courage" comme dans le film 99Francs, l'effet est trop limité dans le temps.
Cela ne ferait que rendre plus difficilement analysable les données récoltées, mais ça ne suffit pas à mon sens.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
# je prends pas le métro
Posté par steph1978 . Évalué à 1.
Les chinois du FBI m'auront pas :)
# Centrale à inertie
Posté par gilles renault (site web personnel, Mastodon) . Évalué à 2.
En fait, il ne font que utiliser le principe des centrales à inertie que l'on trouve dans les avions ou les sous-marins. C'était il me semble le seul moyen fiable pour se repérer pour les sous-marins et pour les avions à proximité des pôles.
[^] # Re: Centrale à inertie
Posté par Zylabon . Évalué à 3.
Ce n'est pas nécessaire d'avoir recours à une méthode si compliquée. Les simples séquences d'accélérations et décélération suffisent
Les centrales à inertie mesurent les accélérations, autrement dit les variations de vitesses dans le temps. De ces variation on peut déduire la vitesse (en connaissant la vitesse initiale), et de la vitesse on peut déduire la position (en connaissant la position initiale), mathématiquement c'est intégrer une fonction deux fois.
Les accéléromètres des smartphones sont un peu pourris, très peu précis. J'imagine pas un tel système marcher plus de quelques minutes sans donner des résultats aberrants.
Please do not feed the trolls
[^] # Re: Centrale à inertie
Posté par Ph Husson (site web personnel) . Évalué à 2.
Même quelques minutes c'est assez optimiste…
[^] # Re: Centrale à inertie
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 1.
Avec juste l'accéléromètre, oui. Mais en utilisant d'autres capteurs présents dans le téléphone, c'est possible:
https://www.google.com/atap/project-tango/
[^] # Re: Centrale à inertie
Posté par Ph Husson (site web personnel) . Évalué à 2.
Moui, alors effectivement, quand t'as une caméra à profondeur de champ, dans une tablette prévue pour faire du SLAM (Simultaneous Localisation and Mapping), encore heureux qu'ils arrivent à faire de la localisation -_-'
Mais sans caméra ils pourraient pas.
# Indoor navigation
Posté par Maclag . Évalué à 3.
La grande tendance depuis un moment dans les capteurs pour téléphone, c'est "l'indoor navigation": le téléphone retrouve où il est dans un centre commercial, par exemple, avec les accéléros et gyros qui intègrent la position absolue entre les bornes wifi qui balancent déjà ta position, et un altimètre pour déterminer l'étage.
Ça fait des années que les fabricants de capteurs travaillent dessus, et là tu tombes des nues parce que 2 chercheurs viennent de se rendre compte que c'est possible?
Si quelqu'un accède à ton téléphone, tu devrais être autrement plus préoccupé que par la détection de la station de métro où tu sors, non?
D'ailleurs, en pratique, j'ai encore mieux: puisqu'on a accès à l'accéléro, je doute que le GPS reste une forteresse imprenable.
Et là c'est jackpot, beaucoup plus facilement!
[^] # Re: Indoor navigation
Posté par 2PetitsVerres . Évalué à 7.
En gros le problème dont il veut parler, c'est que pour une application installée, si elle veut accéder au GPS, il faut avoir la permission Android.localisation_précise (ou imprécise, je ne sais plus), et donc quand tu l'installes, le téléphone te dit "attention, cette application aura accès à votre GPS" (avertissement que personne ne lit, évidemment.)
Et donc dans le cas de l'accéléromètre, il n'y a besoin d'aucune permission, ce qui fait qu'une app peut te localiser sans que tu n'aies accepter la permission "cette app peut te localiser".
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Force centrifuge
Posté par aegirs (site web personnel) . Évalué à 0.
J'avais déjà réfléchi à cette possibilité pour une application du même genre (il s'agissait de savoir si le téléphone montait ou descendait, et à quelle vitesse). Cependant j'avais buté sur le fait qu'il me semble difficile de différentier une montée en ligne droite d'un virage sur un plan incliné.
Du coup je me demande comment il fait pour avoir cette précision de 90%.
Ou alors c'est 90% de réussite sur la reconnaissance d'une "signature d'accélération" d'un trajet de métro connu parmi un nombre de trajet restreint ?
[^] # Re: Force centrifuge
Posté par Maclag . Évalué à 3.
En supposant que tu aies effectivement caractérisé les trajets de métro (il suffit d'identifier les durées entre accélérations et arrêts, et de prendre le trajet dans son ensemble, il doit pouvoir être possible de retrouver le trajet complet.
Ça demande quand même une bonne base de données sur les lignes de métro, et des métros plutôt systématiques.
[^] # Re: Force centrifuge
Posté par Zylabon . Évalué à 2.
Il faut 6 grandeur pour caractériser entièrement le déplacement d'un corps dans l'espace, le déplacement dans les trois axes, et les rotations suivant les trois axes. À priori, différentier une montée en ligne droite d'un virage sur un plan incliné, c'est simplement impossible sans connaitre les rotations.
Il y a des téléphones qui ont des accéléromètres angulaires si je dis pas de bêtise.
c'est ce que j'ai compris, flemme de lire le papier
Please do not feed the trolls
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.