Bu yaxınlarda IEEE Təhlükəsizlik və Məxfilik Simpoziumunda Kembric Universitetinin Kompüter Laboratoriyasından bir qrup tədqiqatçı istifadəçilərə internetdə nəzarət etməyə imkan verən və hələ də imkan verən smartfonlarda yeni zəiflik haqqında. Aşkar edilmiş boşluq Apple və Google-un birbaşa müdaxiləsi olmadan geri dönməz olub və bütün iPhone modellərində və yalnız Android ilə işləyən bir neçə smartfon modelində aşkar edilib. Məsələn, Google Pixel 2 və 3 modellərində rast gəlinir.
Mütəxəssislər Apple-a qarşı zəifliyin aşkar edildiyini ötən ilin avqustunda bildirmişdilər və bu barədə Google-a dekabrda məlumat verilmişdi. Boşluq SensorID adlanır və rəsmi olaraq CVE-2019-8541 təyin edilir. Apple mart ayında iOS 12.2 üçün yamağın buraxılması ilə müəyyən edilmiş təhlükəni aradan qaldırdı. Google-a gəlincə, o, müəyyən edilmiş təhlükəyə hələ cavab verməyib. Bununla belə, bir daha təkrar edirik ki, SensorID hücumu Apple smartfonlarının demək olar ki, bütün modellərində asanlıqla həyata keçirildiyi halda, Android əməliyyat sistemi ilə işləyən çox az sayda smartfon buna həssasdır.
SensorID nədir? Adından SensorID-nin sensorlar üçün unikal identifikator olduğunu başa düşmək asandır. Cihazın bir növ rəqəmsal imzası, əksər hallarda müəyyən bir smartfona uyğundur və buna görə də demək olar ki, həmişə müəyyən bir şəxsə aiddir.
Təhlükəsizlik tədqiqatçılarının səyləri sayəsində belə bir imza maqnitometr, akselerometr və giroskop sensorlarının kalibrlənməsinə dair məlumat toplusu idi (məlum səbəblərə görə, sensorların istehsalı parametrlərin səpələnməsi ilə müşayiət olunur). Kalibrləmə məlumatları zavodda cihazın proqram təminatına yazılır və sensorlar ilə smartfonların işini yaxşılaşdırmağa imkan verir - yerləşdirmənin dəqiqliyini və smartfonun hərəkətlərə reaksiyasını artırır. Hər hansı bir brauzerdən istifadə edərək İnternetdə bir səhifəyə baxarkən və ya bir proqram işə saldıqda, əlinizdəki smartfon nadir hallarda hərəkətsiz qalır. Saytlar smartfona uyğunlaşmaq üçün kalibrləmə məlumatlarını sərbəst oxuyur və bu, demək olar ki, dərhal baş verir. Bu identifikator daha sonra digər saytlarda artıq müəyyən edilmiş istifadəçini izləmək üçün istifadə edilə bilər. Hara gedir, nə ilə maraqlanır. Bu üsul hədəfli reklam üçün mütləq yaxşıdır. Həmçinin, sadə hərəkətlər vasitəsilə belə bir identifikator bütün sonrakı nəticələrlə bir şəxslə əlaqələndirilə bilər.
Apple smartfonlarının SensorID hücumuna qarşı ümumi zəifliyi onunla izah olunur ki, demək olar ki, bütün iPhone-lar premium cihazlar kimi təsnif edilə bilər, onların istehsalı, o cümlədən sensorların zavod kalibrlənməsi kifayət qədər yüksək keyfiyyətlidir. Bu vəziyyətdə, bu vicdanlılıq şirkəti uğursuz etdi. Hətta zavod parametrlərinə sıfırlama SensorID rəqəmsal imzasını silmir. Android ilə işləyən smartfonlar başqa məsələdir. Əksər hallarda, bunlar zavod parametrləri nadir hallarda sensorun kalibrlənməsi ilə müşayiət olunan ucuz cihazlardır. Nəticədə, əksər Android smartfonlarında SensorID hücumu həyata keçirmək üçün rəqəmsal imza yoxdur, baxmayaraq ki, premium cihazların lazımi keyfiyyətlə yığılmasına zəmanət verilir və kalibrləmə məlumatlarına əsasən hücum edilə bilər.
Mənbə: 3dnews.ru