环境光传感器 API 可泄露浏览器敏感数据

据外媒 20 日报道，安全专家 Lukasz Olejnik 发现一种新技术攻击方法，通过内置环境光传感器 API 从多台笔记本电脑或智能手机的浏览器中窃取敏感数据。环境光传感器以自动更改屏幕亮度安装于电子设备中。研究显示，攻击者可以利用该方法通过环境光传感器分析亮度变化窃取认证机制网页上包含 QR 码等敏感数据。

如何通过环境光传感器提取私人数据？主要基于以下两点：

1、用户屏幕的颜色能携带有用信息，而网站出于安全原因无法直接访问。

2、攻击者能够通过光传感器读数区分不同屏幕颜色。

作为例子，Olejnik 提醒用户，用户访问站点后链接颜色将会做相应改变，而专家可以通过环境光传感器检测到这些变化并获得用户历史访问记录。

不过专家也指出，该种攻击方法的速度极其缓慢，他们检测一个 16 位字符的文本字符串花费 48 秒，而识别一个 QR 码则耗时三分二十秒。Olejnik 解释道，原则上，浏览器传感器可以传输 60 Hz 读取速率。然而，并不意味着我们实际上每秒钟就能够提取 60 位，因为最终的检测极限与传感器检测屏幕亮度变化速率有关。

Olejnik 团队进行了屏幕亮度测试，结果表明读数延迟为 200 至 300 毫秒，而对于一个完全可靠的利用来说，假设每 500 毫秒传输一位更加实际。据悉，在某些情况下，该种攻击方法并不可行，因为用户不会在屏幕上长时间保持 QR 码搜索。

此外，Olejnik 还提出一个对策，通过限制环境光传感器 API 读数频率、量化其输出数据以减轻攻击。据悉，该对策不会影响传感器防止任何滥用行为。目前该提案足以限制传感器读数频率（低于 60Hz）与限制传感器输出精度（量化结果）。

原作者：Pierluigi Paganini，译者：青楚，译审：狐狸酱

from hackernews.cc.thanks for it.