Hlavní navigace

Prohlížeče prozrazují vaši polohu, i když jim to nepovolíte

 Autor: Isifa
Daniel Dočekal 24. 4. 2015

Výzkumníci z Národní university v Singapuru objevili „geo-inferenční“ způsob zjištění toho, kde se nacházíte. A nepotřebují k tomu GPS.

„Geo-inference“ podle výzkumníků z Národní univerzity v Singapuru (PDF) umožňuje zjistit, kde se uživatel pravděpodobně nachází, jenom na základě toho, jak se chová jeho prohlížeč. V řadě případů s poměrně vysokou přesností, navíc bez jeho vědomí a souhlasu.

„Geo-inferenční“ způsob zjištění polohy je zajímavý tím, že využívá časovou analýzu (timing attack) – analyzuje trvání požadavků na vyrovnávací paměť prohlížeče při využívání webových služeb, které jsou lokalizovány na určitou oblast. V tomto výzkumu pracují s Googlem, Craigslistem a Google Maps.

U Googlu například využívají skutečnost, že uživatele obvykle přesměrovává z Google.com na jednu ze 191 lokálních stránek, jako je třeba Google.cz. Pokud tedy útočník zjistí, na kterou z těchto lokálních stránek uživatel chodí, a má tedy její data uložená v cache svého browseru, může odhadnout, ze které je země.

Výzkumníci nabízejí několik možností, jak to odhalit. Jedna je například založena na čase nahrávání obrázku loga, které je specifické pro každou jazykovou mutaci. Stačí tedy zjistit, který obrázek se uživateli nahrává z cache, a tím se dá odhadnout, na kterou lokální stránku chodí. Nacachované logo se přitom obvykle nahrává mnohem rychleji, čas se pohybuje do 1 ms, uvádějí výzkumníci. 

Podobně postupují u Google Maps nebo u serveru Craiglist, který publikuje nabídky a inzeráty na různé služby a má stránky pro konkrétní města.

Jak se bránit

Podle výzkumníků této metodě podléhá 62 % webových stránek z TOP 100 nejnavštěvovanějších podle služby Alexa v USA, Austrálii, Japonsku, Singapuru či Velké Británii. Metoda je přitom použitelná v Chrome, Firefoxu, IE, Opeře i Safari.

Autoři výzkumu tvrdí, že případnému útoku nelze zabránit (a nebrání mu ani Tor, byť částečně může). Útok přitom vychází z toho, že velké internetové servery poskytují své služby na základě toho, kde se uživatel nachází. Ve spojení se soubory uloženými prohlížečem na lokálních discích lze měřit, jak dlouho trvá, než dojde k získání určité informace ze serveru.

Craigslist v tomto případě umožňuje zjistit město či čtvrť, ve které se uživatel nachází. Mapy Googlu dokáží velmi přesně zjistit konkrétní místo s přesností na políčko mapy. Právě to, jak rychle prohlížeč získá konkrétní políčko, totiž vede k tomu, že se dá určit poloha.

Obrana by pak samozřejmě byla možná tím, že zcela potlačíte ukládání stránek a jejich prvků prohlížečem. Případně alespoň budete důsledně tuto lokální paměť, cache, promazávat. Sami autoři uvádějí, že by prohlížeče měly myslet na to, které informace jsou citlivé, a ty případně neukládat. A ty, které určují polohu uživatele, by zcela určitě měly být lépe chráněny před zneužitím.

Našli jste v článku chybu?

24. 4. 2015 10:28

Ivan Nový (neregistrovaný)

I tak o vás ví, porovnají matriku se seznamem běžně chovajících se uživatelů a vy tam nebudete, dostanete se tak do zvláštního seznamu lidí úzkostlivě skrývajících identitu a budou vám vytvářet shadow profil, jakmile jednou použijete internet v telefonu, už vás mají, poznají vás podle charakteristického chování uloženého ve vašem shadow profilu a na základě telefonu vás ztotožní .-)))

25. 4. 2015 13:24

Naopak jsem rád, že mě vyhledávač nabízí služby a obchody v mém okolí a výsledky vyhledávání řadí podle mých zájmů. Loupež radioaktivního materiálu přes internet neplánuji, abych potřeboval být utajený.

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů