标记为“传感器”的条目

第13页第1页

指纹iPhone

这个巧妙的进攻允许某人在你访问网站时唯一地识别手机,根据加速度计的数据,陀螺仪,以及磁强计传感器。

我们开发了一种新型的指纹识别攻击,校准指纹攻击。我们的攻击使用加速度计收集的数据,智能手机上的陀螺仪和磁强计传感器构成了全球独一无二的指纹。总的来说,我们的攻击有以下优势:

  • 攻击可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起,无需您明确确认或同意。
  • 攻击需要不到一秒钟的时间来生成指纹。
  • 这种攻击可以为iOS设备生成全球唯一的指纹。
  • 校准指纹永远不会改变,即使在工厂重置之后。
  • 当你浏览网页并在手机上的应用程序之间移动时,这种攻击提供了一种有效的方法来跟踪你。

*在我们披露之后,苹果已经在iOS 12.2中修复了这个漏洞。

研究.

发表于5月22日,2019年6点24分·查看评论

在没有GPS的情况下跟踪人

有趣的研究

用这种方法精确跟踪一个人的诀窍是找出他们正在进行的活动。不管他们走着,开小汽车,或者坐火车或飞机,当你知道自己在寻找什么时,很容易就知道了。

传感器可以确定一个人的旅行速度以及他们的运动类型。缓慢地向一个方向移动表示行走。稍微快一点,但在90度角转弯意味着驾驶。更快,我们在火车或飞机上。这些很容易根据速度和气压计算出来。

在应用程序确定你在做什么之后,它使用从传感器收集的信息。加速度计会传递你的速度,磁力仪告诉你与真北的关系,气压计提供了你周围的气压,并将其与公开的信息进行了比较。它与气象频道联系,比较气压计的气压数据,以确定你在海平面以上有多远。谷歌地图和美国地质调查局提供的数据提供了难以置信的详细海拔读数。

一旦它收集了所有这些信息并确定了你目前的交通方式,然后它可以开始缩小你的范围。的航班,四种算法开始估计目标的位置,并缩小可能性,直到其误差率达到零。

如果你在开车,这可能更容易。这个应用程序根据你手机提供给它的信息知道你所在的时区。然后,它访问气压计和磁强计的信息,并将其与公共可用地图和天气报告中的信息进行比较。之后,它跟踪你转弯的情况。每一次转弯,可能的位置会逐渐变小,直到它精确定位您所在的位置。

为了证明它的准确性,研究人员在费城进行了一次试验。只花了12圈,应用程序就知道了汽车的确切位置。

这是一个很好的例子,说明从不同的数据源合成信息有多强大。我们花了太多时间担心单个数据采集系统,对这些系统的分析技术还不够。

研究.

发布于12月15日,2017年早上6点18分·查看评论

网站在提交前获取用户表单数据

网站是过早发送信息

…我们在Acurian经营的网站上发现了Navistone的代码,加快贷款,继续教育中心,一家专为大码女性设计的服装店,以及许多其他零售商。使用javascript,这些网站在人们键入或自动填写信息到在线表单时,就在传输他们的信息。那样,即使这些人立即改变主意并关闭了网页,公司也会拥有它。

这一点很重要,因为它违背了人们的期望:

在昨天Acurian健康报告,华盛顿大学法律教授莱恩·卡洛告诉Gizmodo,给用户一个“发送”或“提交”按钮,但无论是否按下按钮,都会发送输入的信息,明显违反了用户的对将要发生的事情的期望.卡洛说这可能违反反对不公平和欺骗行为的联邦法律,以及加利福尼亚和马萨诸塞州禁止欺诈性贸易行为的法律。基于这些理由的投诉,Calo说,“不会被法庭取笑。”

这种事情会越来越多地发生,在我们生活的各个领域。物联网就是传感器互联网,以及监控网络。长期以来,普通人对网络计算机侵犯隐私的不同方式有了任何技术上的理解。政府需要介入并规范企业采取合理的做法。这意味着政府需要优先考虑安全问题而不是他们自己的监控需求。

6月29日发布,2017年上午6:51·查看评论

使用手机的环境光传感器窃取浏览记录

人们对使用手机上的各种传感器以惊人的方式窃取数据进行了大量的研究。这是另一个:使用手机的环境光传感器来检测屏幕上显示的内容。这是概念的证明,但本文的一般结论是正确的:

这里有一个教训,就是从隐私工程视角这是一个复杂的过程:在没有任何保护的情况下,将敏感的API公开到Web上的决策不应该轻率。一个危险是,规范作者和浏览器供应商将基于过于一般的原则和研究结果做出决定,这些原则和研究结果不适用于特定的新特性。(类似于如何保护陀螺仪读数可能不足以保护光传感器数据)。

4月28日,2017年上午6:17·查看评论

对加速度计的声学攻击

有趣的声攻击与fitbit等设备中的MEMS加速度计相反。

数以百万计的加速度计安装在智能手机内,汽车、医疗器械,防盗装置,无人驾驶飞机,物联网设备,以及许多其他工业和消费应用。我们的工作是研究模拟声注入攻击如何破坏电容式MEMS加速度计的数字完整性。利用故意的声学干扰欺骗这样的传感器,使得攻击者能够通过一种非常规的途径,向盲目信任未经验证的传感器输出完整性的微处理器和嵌入式系统交付所选的数字值。我们的贡献包括:(1)对MEMS加速度计恶意声学干扰的物理建模,(2)通过测量MEMS加速度计和传感器上使用的系统的声学注入攻击,发现导致漏洞的电路级安全缺陷,以及(3)两个软件专用防御系统,减轻了MEMS加速度计输出完整性的许多风险。

这跟FitBits这样的东西没什么关系,但是,随着物联网设备变得更加自主——并开始做出决策,然后自动实施——这些漏洞将变得至关重要。

学术的.

4月4日发布,2017年6月23日上午·查看评论

大众和作弊软件

里卡多·R·桥本的葡萄牙语翻译

在过去的六年里,大众汽车在其柴油车的排放测试中一直作弊。汽车的计算机能够检测到它们何时被测试,暂时改变引擎的工作方式,让它们看起来比实际干净得多。当他们没有被测试时,他们喷出的污染物是40倍。他们的首席执行官辞职,该公司将面临昂贵的召回,巨额罚款甚至更糟。

在监管测试中作弊在美国企业界有着悠久的历史。它经常发生在汽车排放控制和其他方面。在大众汽车的案例中,重要的是作弊被预先编程成控制汽车排放的算法。

计算机允许人们以新的方式作弊。因为作弊被封装在软件中,恶意行为可能发生在远离测试本身的地方。因为软件是“智能的”在正常物体不存在的情况下,作弊可能更微妙,更难被发现。

我们已经有了智能手机制造商的例子作弊处理器基准测试:检测它们何时被测试,并人为地提高它们的性能。我们将在其他行业看到这一点。

物联网即将到来。许多行业正在向他们的设备中添加计算机,这将给制造商带来新的欺骗机会。灯泡可能会欺骗调节器,使其看起来比实际更节能。温度传感器可能会欺骗消费者,让他们相信食品储存在比以往更安全的温度下。投票机似乎工作得很好——除了11月的第一个星期二,当他们无法察觉地从一个政党的候选人中转换成另一个政党的候选人时。

我担心的是,一些企业高管不会将大众的故事解读为一个警示性的故事,只涉及对一个错误的惩罚,而是将其视为一个证明,你可以在六年内摆脱类似的事情。

他们会更聪明地作弊。大众的厚颜无耻一旦人们知道要找它,它的欺骗就显而易见了。更聪明的方法是让作弊看起来像个意外。总体软件质量太差,以致于产品数千编程错误。

大多数都不影响正常操作,这就是为什么你的软件通常工作得很好。他们中的一些人,这就是为什么你的软件偶尔会出现故障,需要不断更新。通过让作弊软件看起来是一个编程错误,作弊看起来像个意外。而且,不幸的是,这种类型的可否认的欺骗比人们想象的容易。

计算机安全专家认为情报机构多年来一直在做这种事情,两者都得到了软件开发人员的同意,并且是秘密的。

这个问题不会像我们通常认为的那样通过计算机安全来解决。传统的计算机安全旨在防止外部黑客侵入您的计算机和网络。汽车模拟将是安全软件,防止业主调整自己的发动机运行更快,但在这个过程中排放更多的污染物。我们需要应对的是一种截然不同的威胁:在设计阶段就设定好的渎职行为。

我们已经知道如何保护自己不受公司不当行为的影响。罗纳德·里根曾经说过“信任,但验证“当谈到苏联在核条约上作弊时。我们需要能够验证控制我们生活的软件。

软件验证有两个部分:透明度和监督。透明度意味着使源代码可用于分析。这样做的必要性是显而易见的;如果制造商能隐藏代码,隐藏作弊软件就容易多了。

但透明度并不能神奇地减少作弊或提高软件质量,任何使用开源软件的人都知道。这只是第一步。必须对代码进行分析。因为软件很复杂,这种分析不能局限于每隔几年进行一次政府测试。我们也需要私人分析。

它是研究人员在美国和德国的私人实验室,最终超过了大众。因此,透明度不仅仅意味着向政府监管机构及其代表提供准则;这意味着让每个人都可以使用代码。

透明度和监督都是受到威胁在软件世界。公司通常会努力公开他们的代码,并试图让发现问题的安全研究人员闭嘴。引用软件的专有性质。这是一个公平的投诉,但准确和安全的公共利益需要凌驾于商业利益之上。

专有软件越来越多地用于关键应用:投票机,医疗器械,呼吸测定器,电力分配,决定某人能否登机的系统。我们正在把更多的生活控制权让给软件和算法。透明是唯一能证明他们没有欺骗我们的方法。

公司高管们总是愿意撒谎,欺骗自己的盈利方式。我们看到另一个例子上周:斯图尔特·帕内尔,美国花生公司前首席执行官,因明知是沙门氏菌污染产品而被判处28年监禁。这似乎太过分了,但有9人死亡,更多的人因为他作弊而生病。

软件只会使这样的渎职行为更容易承诺,更难证明。更少的人需要知道这个阴谋。可以提前完成,在测试时间或地点附近。而且,如果软件长时间未被检测到,很容易,公司里没有人记得它在那里。

我们需要更好地验证控制我们生活的软件,这意味着更加公开透明。

本文之前出现在CNN.

编辑添加:三个更多杂文.

编辑后添加(10/8):A历史排放控制作弊设备。

9月30日发布,2015年上午9:13·查看评论

监控打字的智能手表

这里有一个它能监视你的手的运动,并能猜出你在输入什么。

使用手表内置的运动传感器,更具体地说,来自加速度计和陀螺仪的数据,研究人员在键盘上打字时,能够绘制出用户手部运动的3D地图。

研究人员随后创造了两种算法,一个是用来检测被按下的键,一个是用来猜测输入的单词。

第一种算法记录了智能手表的传感器检测到运动下降的位置,把这个地方看作是一个击键,然后创建了一个热点,用户可以在那里按下。

基于已知的键盘布局,这些斑点归因于键盘左侧的字母。

第二个算法得到了这些数据,分析智能手表(左手)按键之间的停顿,它能检测出有多少字母是用右手压的,根据用户的常规按键频率。

基于简单的字典查找,然后,该算法成功地重现了在键盘上键入的单词。

9月18日发布,2015年上午5:20·查看评论

通过智能手机加速计跟踪人们

有趣的研究:“如果您乘坐地铁,我们可以跟踪您:使用智能手机上的加速度计跟踪地铁乘客“:

摘要:运动传感器(例如,智能手机上的加速计(accelermeter)已被证明是攻击者监视用户触摸屏输入的一个强大的旁路。在本文中,我们揭示了另一种基于运动加速度计的攻击,这种攻击尤其严重:当一个人乘坐地铁时,智能手机上的恶意应用程序可以很容易地使用加速器读数来跟踪她。我们首先提出一种基本攻击,可以自动从大量混合加速器读数中提取地铁相关数据,然后使用一个基于监督学习的集成区间分类器来推断用户的骑行区间。虽然这种攻击非常有效,监控学习部分要求攻击者收集每个站点间隔的标记训练数据,这是一项巨大的努力。为了提高攻击的效率,我们进一步提出了一种半监督学习方法,这只需要攻击者为非常少的具有明显特征的站间隔收集标记数据。我们在大城市的地铁线路上进行了真实的实验。结果表明,如果用户乘坐地铁4、6站,则推断精度分别达到89%和92%。分别。

物联网就是传感器互联网。我相信所有类型的监视都可以通过各种传感输入实现。

6月8日发布,2015年上午6:09·查看评论

运动场金属探测器

今年,参加大联盟棒球比赛的球迷受到了一种新的欢迎:棒球场的金属探测器.被吹捧为反恐措施,他们根本不是那种人。他们是纯粹的安全剧院:他们看起来很好,没有做任何事情让我们更安全。我们因为推卸责任而陷入困境,西拉思维和恐惧。

作为一种安全措施,新设备真可笑。棒球场的金属探测器比机场检查站的探测器松得多。他们不是很敏感——口袋里有手机和钥匙的人是敏感的航行通过——也没有x光机。袋子也会像多年前一样被草率的搜索。想避开探测器的风扇可以选择轻拍搜索“相反。

没有证据表明这项新措施使任何人都更安全。一个半途而废的票务工将毫不费力地把枪偷偷带进体育场。就这点而言,一枚炸弹在拥挤的检查站爆炸,其致命性不亚于看台爆炸。这些措施将充其量,有效阻止携带枪支或刀子进入体育场的棒球迷。这可能是个好主意,但是,除非最近棒球比赛中发生了大量的球迷枪击和刺伤事件,而且没有发生过,否则,这将花费大量的时间和金钱来对抗假想的威胁。

但是,想象中的威胁是棒球主管们本赛季唯一必须停止的威胁;一直没有特定恐怖威胁或实际情报关心。美国国土安全部(Department of National Security)的高管们在波士顿马拉松轰炸2013。因为,你知道的,那也是一场体育赛事。

这种含糊不清的磋商和同样含糊不清的威胁的体系确保没有任何一个组织可以被视为对变革负责。大联盟可以声称联盟和球队“紧密合作”与国土安全部。国土安全部可以声称这是MLB的倡议。两者都能安全放松,因为如果发生什么事,至少他们做到了某物.

这是我以前见过的一种态度:“必须做点什么。这是什么。因此,我们必须这样做。”不管这些东西是否有意义。

事实上,这是自保”安全,它在9/11事件后的美国很普遍。安全措施是否合理不再重要,如果它具有成本效益,或者能够减轻任何实际的威胁。重要的是你认真对待威胁,所以如果发生了什么事,你就不会因为不作为而受到责备。它是安全的,好吧——负责人的职业安全。

我不是说这些官员只关心他们的工作,根本不关心预防恐怖主义,只是他们的优先权被扭曲了。他们想象一下模糊的威胁,并提出相应的模糊的安全措施来解决这些问题。他们不承担任何费用。他们不是必须处理长线和混乱在盖茨。他们不是必须这样做的人到达早期的为了避免新政策给联盟带来的混乱。如果球迷们因为提前一个小时到达,而且他们想带的食物和饮料被没收了,就会在小卖部花更多的钱,好多了,从团队所有者的角度来看。

在我写作的时候,我能听到反对意见。你不知道这些措施不会有效!如果发生什么事呢?我们不是必须尽一切可能保护自己不受恐怖主义袭击吗?

那是最坏的想法,这很危险。这会导致错误的决定,设计不好,安全性差。更好的方法是现实地评估威胁,判断安全措施的有效性,并考虑其成本。平静的结果,理性的外表会让我们意识到,总有一些地方,我们会把自己紧紧地捆在一起,我们应该少花时间去保护这些地方,多花时间在发现恐怖分子阴谋之前。

到目前为止,球迷们很生气但主要是接受这些新的安全措施。这正是问题所在——我们大多数人都不太在乎。我们的选择是忍受这些措施,或者呆在家里。去看棒球比赛不是政治行为,金属探测器不值得抵制。但也有一股恐惧的潜流。如果是以安全的名义,我们会接受它。只要我们的领导人害怕恐怖分子,他们将继续安全行动。同样,我们也会接受以安全的名义强加给我们的任何措施。我们将接受国家安全局对每个美国人的监视,毫无意义的机场安全程序和棒球场和足球场的金属探测器。我们将继续浪费金钱反应过度不合理的恐惧。

我们不再需要恐怖分子。我们现在很擅长恐吓自己。

本文之前出现华盛顿邮报.

4月15日发布,2015年上午6:58·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性.