Nedavno, na IEEE simpozijumu o sigurnosti i privatnosti, grupa istraživača iz računarske laboratorije Univerziteta u Kembridžu o novoj ranjivosti pametnih telefona koja je omogućila i još uvijek omogućava praćenje korisnika na internetu. Pokazalo se da je otkrivena ranjivost nepovratna bez direktne intervencije Apple-a i Google-a i pronađena je na svim modelima iPhone-a i samo u nekoliko modela pametnih telefona koji koriste Android. Na primjer, nalazi se u modelima Google Pixel 2 i 3.
Stručnjaci su Appleu prijavili otkriće ranjivosti u avgustu prošle godine, a Google je obaviješten u decembru. Ranjivost je nazvana SensorID i službeno označena kao CVE-2019-8541. Apple je otklonio identificiranu opasnost izdavanjem zakrpe za iOS 12.2 u martu. Što se tiče Googlea, on još nije odgovorio na identificiranu prijetnju. Međutim, još jednom ponavljamo da je napad SensorID lako izveden na gotovo svim modelima Apple pametnih telefona, ali je vrlo malo pametnih telefona sa Androidom bilo ranjivo na njega.
Šta je SensorID? Iz naziva je lako razumjeti da je SensorID jedinstveni identifikator za senzore. Neka vrsta digitalnog potpisa uređaja, koji u većini slučajeva odgovara određenom pametnom telefonu i stoga gotovo uvijek pripada određenoj osobi.
Zahvaljujući naporima istraživača sigurnosti, takav potpis je bio skup podataka o kalibraciji senzora magnetometra, akcelerometra i žiroskopa (iz očiglednih razloga, proizvodnju senzora prati niz parametara). Podaci o kalibraciji se upisuju u firmver uređaja u fabrici i omogućavaju vam da poboljšate performanse pametnih telefona sa senzorima - povećavajući preciznost pozicioniranja i reakciju pametnog telefona na pokrete. Kada gledate stranicu na Internetu pomoću bilo kojeg pretraživača ili prilikom pokretanja aplikacije, pametni telefon u vašim rukama rijetko ostaje nepomičan. Web lokacije slobodno čitaju podatke o kalibraciji kako bi se prilagodile pametnom telefonu i to se događa gotovo trenutno. Ovaj identifikator se zatim može koristiti za praćenje već identificiranog korisnika na drugim stranicama. Gde ide, šta ga zanima. Ova metoda je svakako dobra za ciljano oglašavanje. Također, jednostavnim radnjama takav identifikator se može povezati sa osobom sa svim posljedicama koje proizilaze.
Ukupna ranjivost Apple pametnih telefona na napad SensorID objašnjava se činjenicom da se gotovo svi iPhone uređaji mogu klasificirati kao premium uređaji, čija je proizvodnja, uključujući tvorničku kalibraciju senzora, prilično visokog kvaliteta. U ovom slučaju, ova skrupuloznost je iznevjerila kompaniju. Čak ni vraćanje na fabrička podešavanja ne briše SensorID digitalni potpis. Pametni telefoni koji koriste Android su druga stvar. Uglavnom, to su jeftini uređaji, čije tvorničke postavke rijetko prate kalibracija senzora. Kao rezultat toga, većina Android pametnih telefona nema digitalni potpis za izvođenje SensorID napada, iako se garantuje da će premium uređaji biti sastavljeni odgovarajućeg kvaliteta i mogu biti napadnuti na osnovu podataka o kalibraciji.
izvor: 3dnews.ru