Българин откри нов начин за проследяване на телефони

Един късен следобед миналия месец българският специалист по системи за сигурност Христо Божинов оставя телефона си Galaxy Nexus на масата в една претъпкана конферентна зала в Пало Алто. След това го обръща с екрана надолу и изчаква секунда.

И това е всичко. За миг устройството е разкрило своята уникална самоличност.

Един код, задействан в мобилния му браузър, е измерил миниатюрните дефекти в акселерометъра на устройството – сензорът, който засича движение – и така е генерирал уникален цифров код, който рекламодателите биха могли да използват, за да идентифицират и проследяват повечето телефони.

Оказва се, че всеки акселерометър е несъвършен по един предсказуем начин и тези малки разлики в четенето на данните може да се използват, за да се състави единствен по рода си идентификационен номер (ID) на телефона. Той може да се използва от маркетинговите специалисти по същия начин, по който се ползват „бисквитките” – малките файлове, които се закачат от определени сайтове за браузърите и идентифицират отделните потребители, следят действията им онлайн и им изпращат съответната таргетирана реклама.

Това е един иновативен подход, който обаче буди цяла палитра от тревожни заключения – потребителите не могат да изтрият своето ID, както могат да се отърват от бисквитките, нито да го маскират, като променят настройките си за сигурност – и дори няма да знаят дали устройството им се проследява.

„Не зная дали това е правено преди”, казва технологичният експерт от Фондация Electronic Frontier Дан Ауербах, цитиран от блога SFGate. „Много е стряскащо.”

Стряскащо или не, нововъведението е дело на българин – докторанта по компютърни науки в Станфордския университет Христо Божинов. Преди около година той започва експерименти в Лабораторията за сигурност в Станфорд (Stanford Security Lab), за да разбере дали е технически възможно да се идентифицират устройства с помощта на различни сензори. Божинов искал да покаже на производителите на мобилни устройства, на софтуерните дизайнери и на законодателите, че съществува и такава възможност за проследяване, с надеждата отрасълът да предприеме мерки, за да се предпази от нея.

„Хората трябва да мислят за цялата система, когато мислят за сигурността”, коментира българският учен.

И наистина, акселерометрите не са единственото, за което трябва да се тревожим. Изследователският екип на Божинов от Станфорд, който възнамерява да публикува резултатите от изследванията си през идните месеци, успя да идентифицира телефони и като проследи техните микрофони и говорители. Оказало се, че те излъчват уникална „крива на честотната реакция”, в зависимост от това как възпроизвеждат и записват често срещани честотни излъчвания.

На въпроса дали работата му може да даде опасни идеи на рекламодателите, Божинов заяви, че би се изненадал, ако някой от отрасъла вече не разглежда такива възможности. Както частният сектор, така и правителството в САЩ многократно са изразявали готовност да използват хардуера на мобилните устройства по начини, неочаквани за потребителите. Приложения като Color, Shopkick и IntoNow активират микрофоните на смартфона, за да засекат кога хората се намират в една и съща стая, влизат в определен магазин или гледат дадена тв програма. Известно е също така, че ФБР е пускало микрофоните на проследяваните от него заподозрени, за да подслушва разговорите им без тяхно знание.

Със сигурност смартфонът вече е компрометирано устройство за всеки, който държи на личната си сигурност и неприкосновеност. Потребителите могат да бъдат идентифицирани за целите на рекламата, а и не само, чрез бисквитки или уникални ID номера. Освен това много приложения могат да локализират местонахождението на телефона, както и да получават достъп до указателя му с номера, до снимките и какво ли не още.

Разтревожените потребители биха могли да намалят щетите, като избират браузъри, които блокират определени бисквитки – като Safari например; като внимателно подбират приложенията, които си инсталират и като преценяват кои услуги искат достъп до по-личните им данни.

Този контрол обаче може да се обезсмисли от методи за идентифициране на устройствата като този, открит от Христо Божинов. Той обяснява, че шрифтовете, които могат да проследяват устройствата по този начин, може да се инсталират буквално на всеки уебсайт. Решение на тази потенциална заплаха за личното пространство засега няма. Изследователите просто се надяват, че световните регулатори ще обърнат внимание на тази вратичка към телефоните на всеки от нас и ще предприемат нужните мерки тя да бъда затворена. Поне до следващото откритие.

Христо Божинов е съосновател на компанията Anfacto, специализирана в модифицирането и персонализирането на Android платформи. Той работи по експериментите със сензори съвместно с професора по компютърни науки от Станфорд Дан Бони, с докторанта Ян Михалевски и с преподавателя от Израелския технологичен институт Габи Накибли.