Что такое датчики движения в браузере

Обновлено: 06.07.2024

Чтобы продолжить получать обновления системы безопасности от Майкрософт, мы рекомендуем перейти на Windows 10.

Что такое датчик?

Датчики — это аппаратные компоненты, которые могут предоставлять компьютеру информацию о расположении компьютера, его окружающем расположении и не только. Полученные с помощью датчиков данные могут сохраняться и использоваться программами при выполнении повседневных задач для большего удобства работы с компьютером. Существует два типа датчиков:

Датчики, подключаемые к компьютеру посредством проводного или беспроводного соединения.

В число примеров датчиков входят датчики местоположения, например GPS-приемник, который может определить текущее расположение компьютера. На основе полученных данных в специальной программе могут выводиться сведения, например о ближайших ресторанах или маршрутах проезда к нужному пункту назначения. Датчик освещения предназначен для определения уровня освещенности окружающей среды, на основе чего автоматически корректируется яркость экрана.

Использование датчиков расположения и других датчиков

С помощью датчиков можно настраивать программы, данные и службы на компьютере на основании сведений о его текущем расположении, условиях окружающей среды и других данных. Например, с помощью датчика расположения и компьютера можно найти ближайший ресторан, определить направления движения к нему, передать данные о направлениях другу и использовать их на карте для планирования маршрута движения.

Программы могут получать доступ к данным с датчика после его установки и включения на компьютере. Эти данные могут использоваться программами при выполнении повседневных задач для большего удобства работы с компьютером. Чтобы запретить программам и учетным записям использовать данные, полученные с помощью датчика, отключите его.

Так как некоторые программы могут отправлять персональные данные по сетевым подключениям, вы можете включить или отключить датчик только при входе в Windows с учетной записью администратора.

При необходимости можно ограничить доступ к личным данным определенных пользователей на компьютере.

Как применение датчиков влияет на конфиденциальность?

По умолчанию, если датчик включен, все программы и пользователи на вашем компьютере могут получить доступ к сведениям с этого датчика. В ОС Windows при попытке доступа программ к данным о расположении компьютера выводится временное уведомление в виде значка "Датчик расположения и другие датчики" в области уведомлений. Windows отображает этот значок при первом доступе программы или службы к расположению вашего компьютера с датчика.

Некоторые программы могут использовать персональные данные (например, ваше местонахождение) от датчиков без разрешения. С помощью учетных записей можно ограничить доступ программ к данным, полученным с использованием датчиков.

Предоставление доступа к данным, полученным с использованием датчиков

Может потребоваться ограничить доступ к программам и службам (которые запускаются в фоновом режиме для всех учетных записей пользователей) из-за доступа к данным датчиков. По умолчанию при первом включении датчика все программы и службы могут получить информацию от датчика для всех учетных записей пользователей. Можно ограничить доступ программ к данным, полученным с использованием датчиков, с помощью учетных записей. Можно также ограничить доступ к информации датчиков для служб, но это будет применено ко всем учетным записям пользователей.

Значок кнопки "Пуск"

Откройте "Расположение" и "Другие датчики", нажав "Начните", а затем на панели управления. В поле поиска введите датчики, а затем щелкните "Место" и "Другие датчики".

Примечание: Чтобы изменить пользовательские параметры датчиков, должен быть установлен как минимум один датчик.

В левой области выберите пункт Изменить параметры пользователя.

В списке Датчик выберите датчик, для которого требуется изменить параметры пользователя.

Включение и отключение датчиков

Программы могут использовать данные с датчика после включения. Можно включать или отключать датчики, установленные на компьютере, в разделе панели управления "Датчик расположения и другие датчики". При отключении датчик не выключается физически. Некоторые программы могут по-прежнему использовать данные, получаемые с помощью отключенного датчика.

После включения датчика по умолчанию все пользователи и программы на компьютере смогут получать с него доступ к информации. Когда программа или служба впервые получают доступ к расположению вашего компьютера с датчика, Windows временно отображает значок "Расположение и другие датчики" в области уведомлений.

Включение и отключение датчика

Значок кнопки "Пуск"

Откройте "Расположение" и "Другие датчики", нажав "Начните", а затем на панели управления. В поле поиска введите датчики, а затем щелкните "Место" и "Другие датчики".

Требуются права администратора

Установите или снимите флажок рядом с датчиком, который требуется включить или отключить соответственно, и нажмите кнопку Применить. Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или подскакийте его.

Установка и удаление датчиков

См. документацию, входящую в комплект поставки датчика, или посетите веб-сайт изготовителя датчика. После установки датчика нужно включить его. Это позволит программам получать доступ к информации с датчика.

Удаление датчика

Значок кнопки "Пуск"

Откройте "Расположение" и "Другие датчики", нажав "Начните", а затем на панели управления. В поле поиска введите датчик и затем выберите пункт Датчик расположения и другие датчики.

Выберите удаляемый датчик.

Требуются права администратора

В меню "Дополнительныепараметры" щелкните "Удалить этот датчик"и нажмите кнопку "ОК". Если вам будет предложено ввести пароль администратора или подтверждение, введите его или подскакийте.

Более 3,5 тыс. сайтов из рейтинга Top 100 тыс. Alexa содержат скрипты, получающие доступ к одному или нескольким датчикам в мобильном устройстве.

Как правило, приложения запрашивают разрешение на доступ к датчикам телефона (датчик движения, освещенности и т.д.), однако эта норма не распространяется на web-сайты, загружаемые в мобильных браузерах, выяснила команда исследователей из ряда американских университетов. Мобильные сайты часто получают доступ к различным датчикам в смартфоне или планшете без всяких уведомлений и разрешений.

По данным специалистов, более 3,5 тыс. сайтов, входящих в рейтинг Top 100 тыс. Alexa, содержат скрипты, получающие доступ к одному или нескольким датчикам в мобильном устройстве, причем в связи с отсутствием механизма уведомления и запроса разрешения подобная активность остается незаметной для пользователей.

Самого по себе несанкционированного доступа к данным датчиков освещенности, движения, ориентации или приближения будет недостаточно для компрометации личности пользователя или его устройства. К тому же, доступ сохраняется только при просмотре страницы, но не в фоновом режиме. Однако, отмечают исследователи, в случае с вредоносными сайтами данная информация может применяться в различных атаках, например, на основании данных датчика освещенности злоумышленник может вычислить просматриваемые пользователем интернет-страницы или использовать данные датчика движения в качестве кейлоггера для определения PIN-кодов.

Специалисты протестировали девять мобильных браузеров (Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphin, Opera Mini и UC Browser) и обнаружили, что все они разрешают web-страницам доступ к датчикам движения и ориентации без разрешения. На момент исследования различные версии Firefox также разрешали доступ к датчикам приближения и освещенности (разработчики исправили проблему в версии Firefox 60).

Некоторые скрипты служили для безобидных целей, однако порядка 1,2 тыс. сайтов использовали данные датчиков для отслеживания и сбора аналитики. В общей сложности 63% проанализированных скриптов, которые получали доступ к датчикам движения, также использовались для идентификации и отслеживания браузеров.

Ранее специалисты Университета Генуи (Италия) и французского исследовательского института EURECOM обнаружили , что Android-версии популярных программ для хранения паролей не способны различать фальшивые и официальные приложения, тем самым создавая новую возможность для проведения фишинговых атак.

Редко кто знает, что датчики движения Android-устройств по умолчанию доступны сайтам, которые пользователи посещают, используя Chrome. Мобильный браузер Google передает такие данные по запросу даже при самых жестких настройках приватности, а также в режиме инкогнито.

Компанию Google неоднократно упрекали за сбор огромного количества пользовательских данных с целью укрепления своих позиций на рынке контекстной рекламы. Однако техногиганту никак не удается найти приемлемое решение по охране конфиденциальности, не ущемляющее его собственные интересы.

Встроенная защита Android не распространяется на данные акселерометра и сенсоров ориентации, и приложения могут их считывать даже в фоновом режиме, притом независимо от уровня привилегий. Chrome делает это, даже когда пользователь поставил флаги во всех настройках приватности или запустил браузер в режиме инкогнито.

Доступ к таким данным оправдан, например, при посещении мобильной версии сайта Google Карты или у игровых приложений, которым важно следить за касаниями экрана и нажимом клавиш на виртуальной клавиатуре (телефон при этом немного наклоняется). Однако неограниченное предоставление подобной информации через Chrome по дефолту — слишком уж явное нарушение конфиденциальности, о которой так печется Google, по крайней мере, на словах.

В комментарии для Forbes представитель компании заявил, что они «умышленно ограничили разрешающую способность датчиков движения» и в 2019 году предоставили пользователям возможность блокировать сайтам доступ к таким данным. Непонятно только, почему для этого нужно преодолевать многоступенчатые настройки системы и снимать дефолт, который Google к тому же настойчиво порекомендует оставить.

Не проще ли поставить тотальный блок по умолчанию и предоставить пользователю самому решать, кому предоставить доступ к API, — как это сделала Apple для Safari на iPhone в том же 2019 году. Ее браузер теперь запрашивает разрешение у пользователя при переходе на сайт, пытающийся отследить местоположение визитера.

Более того, мессенджерам и клиентам сервисов звонков на iOS теперь запрещено работать в фоновом режиме, то есть их лишили возможности собирать информацию о пользователях в период бездействия. У Google же, напротив, все функции приватности по умолчанию отключены. Примечательно, что Chrome на iPhone безопаснее, чем на Android, так как Apple заблокировала доступ к API датчиков движения для всех браузеров.

Напомним, в браузере Google недавно появился еще один механизм, позволяющий сайтам собирать пользовательские данные без применения куки, — FLoC. Эта скрытая функциональность, также посягающая на приватность навигации в Сети, вызвала неоднозначную реакцию в ИТ-кругах, и Google через несколько месяцев свернула пробный запуск, пообещав доработать проект.

Я проверял состояние ордера FedEx в Brave, когда заметил в адресной строке уведомление, которое раньше никогда не видел. Он предупреждал меня, что «этот сайт заблокирован от доступа к вашим датчикам движения» . Wut? Это даже не должно быть статусом заказа - их домашняя страница также поднимает его.

Я пытаюсь понять, почему веб-сайту нужен доступ к датчику движения на мобильном устройстве, не говоря уже о том, что я использовал настольный компьютер . Получу ли я другой опыт, если выбью свой компьютер со стола? Наклоните мой монитор на бок? Хватать мышиный шнур и крутить его вокруг моей головы очень быстро?

2019-12-27-23_12_42-FedEx-_-Tracking--Shipping--and-Locations---Brave.jpg

После нескольких беглых онлайн-поисков я придумываю лишь несколько тем о Reddit и Brave, которые указывают, что люди также видят это на Kayo Sports и Twitch , а также Experian и Tutanota.

Думаю, пора копать немного глубже.

Что такое веб-API?
Прежде чем сосредоточиться на датчиках, давайте сделаем резервную копию и поговорим о веб-дизайне и веб-API . Ваш браузер имеет доступ к большому количеству данных через (и метаданные относительно) устройства, на котором вы его установили. Столько, сколько некоторые сайты бы ни посещали , чтобы иметь доступ ко всем этим данным, любой приличный браузер действует как брандмауэр, блокируя этот доступ по умолчанию и предлагая вам разрешить его.

API геолокации
Одним из наиболее распространенных API-интерфейсов является тот, который используется для запроса вашего местоположения, обычно, когда вы используете «локатор магазина» на веб-сайтах, чтобы найти ближайший к вам магазин.

Кнопка ниже использует код (слегка измененный) из документации MDN Geolocation API . Когда вы щелкаете по нему, код JavaScript выполняет вызов navigator.geolocation.getCurrentPosition () , запрашивая у вашего браузера местоположение.

location-prompt.jpg

location-notification.jpg

Если вы не видите приглашение, но думаете, что разрешили его, есть два разных параметра, управляющих доступом: глобальная страница со списком «заблокированных» и «разрешенных» сайтов и страница для каждого сайта, на которой вы Можно настроить все разрешения для одного сайта. В Chrome, просто замените brave://с chrome:// в адресной строке.

general-location-settings.jpg

site-details-settings.jpg

API уведомлений
Другой (к сожалению, очень ) популярный API - это тот, который используется для отображения уведомлений посетителям. Используя API уведомлений , вы можете запросить разрешение у посетителя с помощью вызова, Notification.requestPermission() а затем просто создать, new Notification() чтобы раздражать их, чтобы они были в курсе. ( Может не работать в Brave из-за ошибки.)

API датчиков
Существует (может быть, что-то вроде?) новый API для запроса доступа к датчикам в браузерах на основе Chromium ( Ghacks помещает его в Chrome 75 примерно в июне 2019 года, но википедия предлагает Chrome 67 в мае 2018 года). Это еще не широко поддерживается. Согласно MDN, единственными крупными браузерами, которые в настоящее время поддерживают его, являются Chrome и Opera для настольных компьютеров и мобильных устройств.

Ознакомьтесь с документами по MDN , рекомендациями кандидатов в W3C , продолжающимся обсуждением в Chrome и игровой площадкой Intel Sensor API. для примера.

Следующие ссылки выполняют некоторый код JavaScript, чтобы попытаться запустить различные датчики, которые должны вызвать значок датчика в адресной строке. (Если возникнет ошибка, она отобразится под ссылками.)

  • Попробуй акселерометр
  • Попробуйте AmbientLightSensor
  • Попробуйте гироскоп
  • Попробуй LinearAccelerationSensor
  • Попробуй магнитометр
  • Попробуйте AbsoluteOrientationSensor (акселерометр, гироскоп, магнитометр)
  • Попробуйте RelativeOrientationSensor (акселерометр, гироскоп)

Как и в случае API-интерфейсов геолокации и уведомлений, вы можете предоставить или запретить доступ на глобальном уровне или на уровне сайта. Раздражает то, что все вышеперечисленные датчики попадают под один зонтик «датчиков движения», поэтому вы не можете легко определить, к какому из этих датчиков пытается получить доступ конкретный объект.

global-sensors-access-list.jpg

site-details-settings (1).jpg

Почему некоторые сайты запрашивают API датчиков?
д-р - я пока не знаю. Вот что я откопал до сих пор.

Я еще не понял, но вот что у меня есть - не стесняйтесь нести факел.

Запутанный файл, возможно, от Akamai
Все страницы, которые я извлек, ссылаются на запутанный файл, который при удалении приводит к исчезновению значка датчика движения. Имя - это просто 112-битное случайное значение, которое не дает никаких подсказок.

Читайте также: