Aplikácia vyvinutá indickými vedcami dokázala z bežných GPS dát v telefónoch s Androidom určiť, či človek sedí, stojí, alebo sa pohybuje po miestnosti, a to s presnosťou až 90 percent. Google, na ktorého sa výskumníci obrátili, odmietol problém riešiť.
Spoločnosť nepovažuje zraniteľnosť za dostatočne závažnú. Nezaradila ju do svojej databázy známych chýb a zraniteľností, označovanej skratkou CVE. Napriek dôkazom, ktoré výskumníci predložili, sa ňou Google nebude zaoberať.
Aplikácia AndroCon
Vedci testovali vlastnú aplikáciu s názvom AndroCon na piatich rôznych modeloch telefónov s Androidom. Na analýzu údajov, ktoré GPS signál obsahuje okrem samotnej polohy pritom využíva umelú inteligenciu. Väčšina používateľov o existencii týchto doplnkových dát nevie, hoci ich telefón zbiera pri každom zapnutí lokalizačných služieb. AndroCon z nich dokázala vyčítať nielen polohu človeka v budove, ale aj to, čo práve robí. Či práve sedí, stojí alebo sa prechádza.
Jeden z modelov umelej inteligencie spravil ešte podrobnejšiu analýzu. Z GPS dát načrtol plány miestností a domov, kde sa používateľ pohyboval, pričom identifikoval aj konkrétne body v domácnosti, ako sú schody, výťahy alebo prázdne rohy miestností. Presnosť aj v tomto prípade dosiahla 90 percent.
Google o probléme vie, nebude ho riešiť
Reakcia Googlu na tieto zistenia bola stručná. Zraniteľnosť nespĺňa kritériá na zaradenie do databázy chýb, ktorými sa plánuje zaoberať. Firma ju jednoducho nebude opravovať.
Výskumníci pritom upozorňujú, že doplnkové GPS metriky, ku ktorým majú prístup bežné aplikácie s povolenou lokalizáciou, môžu slúžiť aj na presnejšie cielenie reklamy na základe detekcie pohybu používateľov v reálnom čase. Konkrétne dôkazy o takomto zneužívaní zatiaľ neexistujú, no technická možnosť tu podľa vedcov je.
Aplikácie v smartfónoch bežne vyžadujú prístup ku GPS kvôli službám založeným na polohe, od navigácie cez počasie až po doručovacie služby. Používatelia tento prístup udeľujú rutinne. Čo je menej známe je to, že GPS signál nenesie len súradnice, ale aj množstvo ďalších metrík, ktoré dokáže analyzovať umelá inteligencia. Akékoľvek zariadenie s prístupom k týmto dátam tak môže byť potenciálne zraniteľné.
