Modern smartphone sensors can be leveraged for providing novel functionality and greatly improving the user experience. However, sensor data can be misused by privacy-invasive or malicious entities. Additionally, a wide range of other attacks that use mobile sensor data have been demonstrated; while those attacks have typically relied on users installing malicious apps, browsers have eliminated that constraint with the deployment of HTML5 WebAPI. In this article, we conduct a comprehensive evaluation of the multifaceted threat that mobile web browsing poses to users by conducting a large-scale study of mobile-specific HTML5 WebAPI calls across more than 183K of the most popular websites. We build a novel testing infrastructure consisting of actual smartphones on top of a dynamic Android app analysis framework, allowing us to conduct an end-to-end exploration. In detail, our system intercepts and tracks data access in real time, from the WebAPI JavaScript calls down to the Android system calls. Our study reveals the extent to which websites are actively leveraging the WebAPI for collecting sensor data, with 2.89% of websites accessing at least one sensor. To provide a comprehensive assessment of the risks of this emerging practice, we create a taxonomy of sensor-based attacks from prior studies and present an in-depth analysis by framing our collected data within that taxonomy. We find that 1.63% of websites can carry out at least one attack and emphasize the need for a standardized policy across all browsers and the ability for users to control what sensor data each website can access.

中文翻译：

---

HTML5 WebAPI 的七大罪过

现代智能手机传感器可用于提供新颖的功能并大大改善用户体验。但是，传感器数据可能会被侵犯隐私或恶意实体滥用。此外，还展示了使用移动传感器数据的各种其他攻击；虽然这些攻击通常依赖于用户安装恶意应用程序，但浏览器已经通过部署 HTML5 WebAPI 消除了这种限制。在本文中，我们通过对超过 183,000 个最受欢迎的网站的特定于移动设备的 HTML5 WebAPI 调用进行大规模研究，对移动 Web 浏览对用户构成的多方面威胁进行了全面评估。我们在动态 Android 应用分析框架之上构建了一个由实际智能手机组成的新型测试基础设施，允许我们进行端到端的探索。具体来说，我们的系统实时拦截和跟踪数据访问，从 WebAPI JavaScript 调用到 Android 系统调用。我们的研究揭示了网站积极利用 WebAPI 收集传感器数据的程度，2.89% 的网站访问至少一个传感器。为了对这种新兴实践的风险进行全面评估，我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们的系统实时拦截和跟踪数据访问，从 WebAPI JavaScript 调用到 Android 系统调用。我们的研究揭示了网站积极利用 WebAPI 收集传感器数据的程度，2.89% 的网站访问至少一个传感器。为了对这种新兴实践的风险进行全面评估，我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们的系统实时拦截和跟踪数据访问，从 WebAPI JavaScript 调用到 Android 系统调用。我们的研究揭示了网站积极利用 WebAPI 收集传感器数据的程度，2.89% 的网站访问至少一个传感器。为了对这种新兴实践的风险进行全面评估，我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们的研究揭示了网站积极利用 WebAPI 收集传感器数据的程度，2.89% 的网站访问至少一个传感器。为了对这种新兴实践的风险进行全面评估，我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们的研究揭示了网站积极利用 WebAPI 收集传感器数据的程度，2.89% 的网站访问至少一个传感器。为了对这种新兴实践的风险进行全面评估，我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。我们从先前的研究中创建了基于传感器的攻击的分类，并通过在该分类中构建我们收集的数据来进行深入分析。我们发现 1.63% 的网站可以进行至少一次攻击，并强调需要跨所有浏览器的标准化策略以及用户控制每个网站可以访问哪些传感器数据的能力。