Wetenschappers van Amerikaanse Northeastern-universiteit wisten smartphonegebruikers te volgen zonder van permissies voor locatie of wifi gebruik te maken. Aan de hand van gegevens van de gyroscoop, versnellingsmeter en magnetometer wisten de wetenschappers een route vast te stellen die de gebruiker van de app met de auto had afgelegd. Deze gegevens werden door een app verzameld, die zich voordeed als een app met een andere functie. Voor toegang tot de data van de sensoren is volgens de onderzoekers geen speciale permissie vereist, waardoor deze voor elke app toegankelijk is zonder dat dit voor de gebruikers duidelijk is. 

Om tot deze conclusie te komen hebben de wetenschappers in hun onderzoek een aantal experimenten uitgevoerd. Zo simuleerden zij routes in elf verschillende steden, waaronder Berlijn, Londen, Madrid en Parijs. Op basis van gegevens van OpenStreetMap kon een algoritme vervolgens een bepaald aantal mogelijke afgelegde routes aanwijzen. Het bleek dat het algoritme met een waarschijnlijkheid van meer dan 50 procent een lijst met tien routes kon genereren, waarvan een de daadwerkelijke route was. Dit was bijvoorbeeld mogelijk door de gegevens van de smartphonesensoren te vergelijken met de bochten in de weg.

Ook voerden zij experimenten uit waarbij testpersonen daadwerkelijk de weg opgingen in de steden Boston en Waltham en in totaal meer dan 980km aflegden. Daarbij was het experiment zo ingericht dat de smartphone op een vaste locatie in de auto aanwezig moest zijn. De onderzoekers stellen dat het ook mogelijk is om de app het verschil tussen bewegingen van de gebruiker en van de auto te laten onderscheiden. Ook is het mogelijk om de locatie van de gebruiker vast te stellen aan de hand van een ip-adres, waardoor van tevoren duidelijk is in welke stad deze zich bevindt.

Hoewel de bevindingen van de onderzoekers op dit moment niet uitzonderlijk nauwkeurig lijken, geeft het onderzoek wel aan wat de mogelijkheden van dit soort side channel-aanvallen zijn. De wetenschappers doen dan ook de aanbeveling om ook toegang tot gegevens van sensoren afhankelijk te maken van permissies. Ook zou de gebruiker op de hoogte moeten worden gesteld van het feit dat toegang tot sensorgegevens plaatsvindt, net als het geval is bij locatiegegevens en wifi.

Allesbij de bron; Tweakers