Πρόσφατα, στο IEEE Symposium on Security and Privacy, μια ομάδα ερευνητών από το Εργαστήριο Υπολογιστών του Πανεπιστημίου του Cambridge σχετικά με μια νέα ευπάθεια στα smartphone που επέτρεπε και επιτρέπει στους χρήστες την παρακολούθηση στο Διαδίκτυο. Η ευπάθεια που ανακαλύφθηκε αποδείχθηκε μη αναστρέψιμη χωρίς την άμεση παρέμβαση της Apple και της Google και εντοπίστηκε σε όλα τα μοντέλα iPhone και μόνο σε λίγα μοντέλα smartphone με Android. Για παράδειγμα, βρίσκεται στα μοντέλα Google Pixel 2 και 3.
Οι ειδικοί ανέφεραν την ανακάλυψη της ευπάθειας στην Apple τον Αύγουστο του περασμένου έτους και η Google ειδοποιήθηκε τον Δεκέμβριο. Η ευπάθεια ονομάστηκε SensorID και ονομάστηκε επίσημα CVE-2019-8541. Η Apple εξάλειψε τον εντοπισμένο κίνδυνο με την κυκλοφορία μιας ενημέρωσης κώδικα για το iOS 12.2 τον Μάρτιο. Όσο για την Google, δεν έχει ανταποκριθεί ακόμη στην απειλή που εντοπίστηκε. Ωστόσο, επαναλαμβάνουμε για άλλη μια φορά ότι ενώ η επίθεση SensorID πραγματοποιήθηκε εύκολα σε όλα σχεδόν τα μοντέλα smartphone της Apple, πολύ λίγα smartphone με Android βρέθηκαν ευάλωτα σε αυτήν.
Τι είναι το SensorID; Από το όνομα είναι εύκολο να καταλάβει κανείς ότι το SensorID είναι ένα μοναδικό αναγνωριστικό για αισθητήρες. Ένα είδος ψηφιακής υπογραφής της συσκευής, που στις περισσότερες περιπτώσεις αντιστοιχεί σε ένα συγκεκριμένο smartphone και, ως εκ τούτου, ανήκει σχεδόν πάντα σε ένα συγκεκριμένο άτομο.
Χάρη στις προσπάθειες των ερευνητών ασφαλείας, μια τέτοια υπογραφή ήταν ένα σύνολο δεδομένων για τη βαθμονόμηση αισθητήρων μαγνητομέτρου, επιταχυνσιόμετρου και γυροσκοπίου (για προφανείς λόγους, η παραγωγή αισθητήρων συνοδεύεται από μια διασπορά παραμέτρων). Τα δεδομένα βαθμονόμησης εγγράφονται στο υλικολογισμικό της συσκευής στο εργοστάσιο και σας επιτρέπουν να βελτιώσετε την απόδοση των smartphone με αισθητήρες - αυξάνοντας την ακρίβεια της τοποθέτησης και την απόκριση του smartphone στις κινήσεις. Κατά την προβολή μιας σελίδας στο Διαδίκτυο χρησιμοποιώντας οποιοδήποτε πρόγραμμα περιήγησης ή κατά την εκκίνηση μιας εφαρμογής, το smartphone στα χέρια σας σπάνια παραμένει ακίνητο. Οι ιστότοποι διαβάζουν ελεύθερα δεδομένα βαθμονόμησης για να προσαρμοστούν στο smartphone και αυτό συμβαίνει σχεδόν αμέσως. Αυτό το αναγνωριστικό μπορεί στη συνέχεια να χρησιμοποιηθεί για την παρακολούθηση ενός ήδη αναγνωρισμένου χρήστη σε άλλους ιστότοπους. Πού πάει, τι τον ενδιαφέρει. Αυτή η μέθοδος είναι σίγουρα καλή για στοχευμένη διαφήμιση. Επίσης, μέσω απλών ενεργειών, ένα τέτοιο αναγνωριστικό μπορεί να συνδεθεί με ένα άτομο με όλες τις επακόλουθες συνέπειες.
Η συνολική ευπάθεια των smartphone της Apple στην επίθεση SensorID εξηγείται από το γεγονός ότι σχεδόν όλα τα iPhone μπορούν να ταξινομηθούν ως συσκευές premium, η κατασκευή των οποίων, συμπεριλαμβανομένης της εργοστασιακής βαθμονόμησης αισθητήρων, είναι αρκετά υψηλής ποιότητας. Σε αυτή την περίπτωση, αυτή η σχολαστικότητα απέτυχε την εταιρεία. Ακόμη και μια επαναφορά εργοστασιακών ρυθμίσεων δεν διαγράφει την ψηφιακή υπογραφή SensorID. Τα smartphone με Android είναι ένα άλλο θέμα. Ως επί το πλείστον, πρόκειται για φθηνές συσκευές, οι εργοστασιακές ρυθμίσεις των οποίων σπάνια συνοδεύονται από βαθμονόμηση αισθητήρα. Ως αποτέλεσμα, τα περισσότερα smartphone Android δεν διαθέτουν ψηφιακή υπογραφή για να πραγματοποιήσουν επίθεση SensorID, αν και οι συσκευές premium είναι εγγυημένα ότι συναρμολογούνται με την κατάλληλη ποιότητα και μπορούν να δεχτούν επίθεση με βάση τα δεδομένα βαθμονόμησης.
Πηγή: 3dnews.ru