Díky lokalizačním údajům mají útočníci nejen přehled o pohybu uživatele malwarem napadeného smartphonu, ale získávají tak i cenné podklady například pro lepší cílení reklamy. Útočníkům přitom mnohdy nahrávají sami uživatelé.
Ti totiž často při instalaci mobilních aplikací bez rozmýšlení povolí přístup k citlivým údajům. V takových případech tak útočníci skrze ně získají přístup k údajům, které nejsou pro fungování dané aplikace vůbec důležité. Přitom právě výslovný souhlas uživatele je zásadním obranným prvkem, kterým chtějí vývojáři operačních systémů předejít napadení smartphonů malwarem.
Avšak ani uživatelé, kteří berou hrozbu škodlivého softwaru vážně a kteří zodpovědně hlídají, co které aplikaci dovolí, nejsou mimo ohrožení. Podle posledních zjištění lze totiž pohyb smartphonu sledovat i jinak než prostřednictvím GPS dat. Lokalizační údaje lze získat i z údajů o spotřebě energie.
„Náš přístup umožňuje sledování v reálném čase a identifikaci pouhým analyzováním spotřeby telefonu,“ uvedl Yan Michalevsky ze Stanfordské univerzity v Kalifornii, který s kolegy naprogramoval androidí aplikaci PowerSpy určenou k měření spotřeby energie.
Počítačoví experti totiž vycházejí z předpokladu, že spotřeba energie smartphonu do značné míry souvisí s jeho vzdáleností od nejbližší základnové stanice. Podle toho, jak se od ní uživatel vzdaluje či přibližuje, se mění i spotřeba energie potřebná ke komunikaci se základnovou stanicí.
Svou domněnku se rozhodli otestovat na celkem čtyřech zhruba 14 kilometrů dlouhých trasách, na nichž zaznamenali více než 40 různých profilů spotřeby energie. V následné analýze se zaměřili na to, zda pouze na základě těchto údajů jsou schopni určit pohyb daného uživatele. Povedlo se jim to s 93procentní přesností.
„Ukázali jsme, že aplikace, které využívají data z ampérmetru telefonu, mohou získat informace o poloze mobilního zařízení bez přístupu k GPS nebo jiné polohovací službě,“ poznamenal Michalevsky.
Jednou z možností, jak neoprávněnému sledování pohybu smartphonu předejít, je zabránění aplikacím v přístupu k údajům o spotřebě energie. Místo takto radikálního řešení by mohlo pomoci i omezení přístupu, v takovém případě by mohl být aplikacím zabráněn přístup k údajům o využití energie v souvislosti s rádiovou komunikací.
Samotní autoři studie pak navrhují kompromis mezi funkčností a ochranou soukromí. Řešení vidí v omezení, kdy by byl aplikacím umožněn přístup pouze k datům o příkonu procesoru. Výsledky studie jsou současně varováním. I přes přijatá opatření k zajištění ochrany osobních údajů budou totiž vždy existovat způsoby, jak se lze k takovým datům dostat.
