مؤخرًا، في ندوة IEEE حول الأمن والخصوصية، قام مجموعة من الباحثين من مختبر الكمبيوتر بجامعة كامبريدج حول ثغرة أمنية جديدة في الهواتف الذكية سمحت وما زالت تسمح بمراقبة المستخدمين على الإنترنت. وتبين أن الثغرة الأمنية المكتشفة لا يمكن إصلاحها دون التدخل المباشر من شركتي Apple وGoogle، وتم العثور عليها في جميع طرازات iPhone وفي عدد قليل فقط من نماذج الهواتف الذكية التي تعمل بنظام Android. على سبيل المثال، فهو موجود في طرازات Google Pixel 2 و3.
وأبلغ الخبراء عن اكتشاف الثغرة الأمنية لشركة آبل في أغسطس من العام الماضي، وتم إخطار جوجل في ديسمبر. تم تسمية الثغرة الأمنية بـ SensorID وتم تحديدها رسميًا باسم CVE-2019-8541. تخلصت شركة Apple من الخطر الذي تم تحديده من خلال إصدار تصحيح لنظام التشغيل iOS 12.2 في مارس. أما جوجل فلم ترد بعد على التهديد الذي تم تحديده. ومع ذلك، نكرر مرة أخرى أنه على الرغم من أنه تم تنفيذ هجوم SensorID بسهولة على جميع طرازات هواتف Apple الذكية تقريبًا، إلا أنه تم العثور على عدد قليل جدًا من الهواتف الذكية التي تعمل بنظام Android عرضة له.
ما هو معرف الاستشعار؟ من السهل أن نفهم من الاسم أن SensorID هو معرف فريد لأجهزة الاستشعار. نوع من التوقيع الرقمي للجهاز، والذي يتوافق في معظم الحالات مع هاتف ذكي معين، وبالتالي ينتمي دائمًا إلى شخص معين.
بفضل جهود الباحثين الأمنيين، كان هذا التوقيع عبارة عن مجموعة من البيانات حول معايرة أجهزة استشعار مقياس المغناطيسية ومقياس التسارع والجيروسكوب (لأسباب واضحة، يرافق إنتاج أجهزة الاستشعار تشتت المعلمات). تتم كتابة بيانات المعايرة في البرنامج الثابت للجهاز في المصنع، وتسمح لك بتحسين أداء الهواتف الذكية باستخدام أجهزة الاستشعار - مما يزيد من دقة تحديد المواقع واستجابة الهاتف الذكي للحركات. عند عرض صفحة على الإنترنت باستخدام أي متصفح أو عند تشغيل أحد التطبيقات، نادرًا ما يبقى الهاتف الذكي بين يديك بلا حراك. تقرأ المواقع بيانات المعايرة بحرية للتكيف مع الهاتف الذكي ويحدث هذا على الفور تقريبًا. يمكن بعد ذلك استخدام هذا المعرف لتتبع مستخدم تم تحديده بالفعل على مواقع أخرى. أين يذهب وما هو مهتم به. هذه الطريقة جيدة بالتأكيد للإعلانات المستهدفة. وأيضًا، من خلال إجراءات بسيطة، يمكن ربط هذا المعرف بشخص ما مع كل العواقب المترتبة على ذلك.
يتم تفسير الضعف الكامل لهواتف Apple الذكية أمام هجوم SensorID من خلال حقيقة أنه يمكن تصنيف جميع أجهزة iPhone تقريبًا على أنها أجهزة متميزة، حيث يتميز تصنيعها، بما في ذلك معايرة أجهزة الاستشعار في المصنع، بجودة عالية إلى حد ما. وفي هذه الحالة، فإن هذا الدقة خذلت الشركة. حتى إعادة ضبط المصنع لا تؤدي إلى مسح التوقيع الرقمي لـ SensorID. الهواتف الذكية التي تعمل بنظام Android هي مسألة أخرى. بالنسبة للجزء الأكبر، فهي أجهزة غير مكلفة، ونادرا ما تكون إعدادات المصنع مصحوبة بمعايرة أجهزة الاستشعار. ونتيجة لذلك، لا تحتوي معظم الهواتف الذكية التي تعمل بنظام Android على توقيع رقمي لتنفيذ هجوم SensorID، على الرغم من ضمان تجميع الأجهزة المتميزة بالجودة المناسبة وإمكانية مهاجمتها بناءً على بيانات المعايرة.
المصدر: 3dnews.ru