Hlavní navigace

Prohlížeče prozrazují vaši polohu, i když jim to nepovolíte

 Autor: Isifa
Daniel Dočekal 24. 4. 2015

Výzkumníci z Národní university v Singapuru objevili „geo-inferenční“ způsob zjištění toho, kde se nacházíte. A nepotřebují k tomu GPS.

„Geo-inference“ podle výzkumníků z Národní univerzity v Singapuru (PDF) umožňuje zjistit, kde se uživatel pravděpodobně nachází, jenom na základě toho, jak se chová jeho prohlížeč. V řadě případů s poměrně vysokou přesností, navíc bez jeho vědomí a souhlasu.

„Geo-inferenční“ způsob zjištění polohy je zajímavý tím, že využívá časovou analýzu (timing attack) – analyzuje trvání požadavků na vyrovnávací paměť prohlížeče při využívání webových služeb, které jsou lokalizovány na určitou oblast. V tomto výzkumu pracují s Googlem, Craigslistem a Google Maps.

U Googlu například využívají skutečnost, že uživatele obvykle přesměrovává z Google.com na jednu ze 191 lokálních stránek, jako je třeba Google.cz. Pokud tedy útočník zjistí, na kterou z těchto lokálních stránek uživatel chodí, a má tedy její data uložená v cache svého browseru, může odhadnout, ze které je země.

Výzkumníci nabízejí několik možností, jak to odhalit. Jedna je například založena na čase nahrávání obrázku loga, které je specifické pro každou jazykovou mutaci. Stačí tedy zjistit, který obrázek se uživateli nahrává z cache, a tím se dá odhadnout, na kterou lokální stránku chodí. Nacachované logo se přitom obvykle nahrává mnohem rychleji, čas se pohybuje do 1 ms, uvádějí výzkumníci. 

Podobně postupují u Google Maps nebo u serveru Craiglist, který publikuje nabídky a inzeráty na různé služby a má stránky pro konkrétní města.

Jak se bránit

Podle výzkumníků této metodě podléhá 62 % webových stránek z TOP 100 nejnavštěvovanějších podle služby Alexa v USA, Austrálii, Japonsku, Singapuru či Velké Británii. Metoda je přitom použitelná v Chrome, Firefoxu, IE, Opeře i Safari.

Autoři výzkumu tvrdí, že případnému útoku nelze zabránit (a nebrání mu ani Tor, byť částečně může). Útok přitom vychází z toho, že velké internetové servery poskytují své služby na základě toho, kde se uživatel nachází. Ve spojení se soubory uloženými prohlížečem na lokálních discích lze měřit, jak dlouho trvá, než dojde k získání určité informace ze serveru.

Craigslist v tomto případě umožňuje zjistit město či čtvrť, ve které se uživatel nachází. Mapy Googlu dokáží velmi přesně zjistit konkrétní místo s přesností na políčko mapy. Právě to, jak rychle prohlížeč získá konkrétní políčko, totiž vede k tomu, že se dá určit poloha.

CIF16

Obrana by pak samozřejmě byla možná tím, že zcela potlačíte ukládání stránek a jejich prvků prohlížečem. Případně alespoň budete důsledně tuto lokální paměť, cache, promazávat. Sami autoři uvádějí, že by prohlížeče měly myslet na to, které informace jsou citlivé, a ty případně neukládat. A ty, které určují polohu uživatele, by zcela určitě měly být lépe chráněny před zneužitím.

Našli jste v článku chybu?
Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn