Berriki, IEEE Symposium on Security and Privacy-en, Cambridgeko Unibertsitateko Informatika Laborategiko ikertzaile talde batek
Adituek iazko abuztuan jakinarazi zioten ahultasunaren aurkikuntza Appleri, eta abenduan jakinarazi zioten Googleri. Ahultasuna SensorID deitzen zen eta ofizialki CVE-2019-8541 izendatu zuten. Applek identifikatutako arriskua ezabatu zuen martxoan iOS 12.2rako adabaki bat kaleratuta. Google-ri dagokionez, oraindik ez dio erantzun identifikatutako mehatxuari. Hala eta guztiz ere, berriro errepikatzen dugu SensorID erasoa Appleko telefonoen ia modelo guztietan erraz gauzatu zen arren, Android exekutatzen duten telefono oso gutxi aurkitu zirela horren kaltegarriak.
Zer da SensorID? Izenetik erraz ulertzen da SensorID sentsoreen identifikatzaile bakarra dela. Gailuaren sinadura digital moduko bat, kasu gehienetan smartphone jakin bati dagokiona eta, beraz, ia beti pertsona zehatz batena.
Segurtasun ikertzaileen ahaleginari esker, sinadura hori magnetometro, azelerometro eta giroskopio sentsoreen kalibrazioari buruzko datu-multzo bat izan zen (ageriko arrazoiengatik, sentsoreen ekoizpena parametroen sakabanaketarekin batera dator). Kalibrazio-datuak fabrikan gailuaren firmwarean idazten dira, eta sentsoreen bidez telefonoen errendimendua hobetzeko aukera ematen du, kokapenaren zehaztasuna eta telefonoaren mugimenduen erantzuna areagotuz. Edozein nabigatzaile erabiliz orrialde bat Interneten ikusten duzunean edo aplikazio bat abiarazten duzunean, eskuetan duzun telefonoa oso gutxitan gelditzen da geldirik. Guneek libreki irakurtzen dituzte kalibrazio datuak smartphonera egokitzeko eta hori ia berehala gertatzen da. Identifikatzaile hori erabil daiteke jada identifikatutako erabiltzaile bati beste gune batzuetan jarraitzeko. Nora joaten den, zer interesatzen zaion. Metodo hau, zalantzarik gabe, ona da zuzendutako publizitaterako. Era berean, ekintza errazen bidez, identifikatzaile hori pertsona bati lotu ahal izango da, ondoriozko ondorio guztiekin.
SensorID erasoaren aurrean Appleko telefonoen ahultasun osoa iPhone ia guztiak premium gailu gisa sailka daitezkeela azaltzen du, eta horien fabrikazioa, sentsoreen fabrikako kalibrazioa barne, nahiko kalitate handikoa da. Kasu honetan, eskrupulotasun horrek huts egin zion enpresari. Fabrika berrezartzeak ere ez du SensorID sinadura digitala ezabatzen. Android exekutatzen duten smartphoneak beste kontu bat dira. Gehienetan, gailu merkeak dira, fabrikako ezarpenak oso gutxitan sentsoreen kalibrazioarekin batera. Ondorioz, Android telefono adimendun gehienek ez dute SensorID erasoa burutzeko sinadura digitalik, nahiz eta premium gailuak kalitate egokiarekin muntatuko direla eta kalibrazio-datuen arabera eraso daitezkeen.
Iturria: 3dnews.ru