Koartlyn, op it IEEE Sympoasium oer Feiligens en Privacy, in groep ûndersikers fan it Computer Laboratory fan 'e Universiteit fan Cambridge oer in nije kwetsberens yn smartphones dy't tastien en noch altyd tastean brûkers te kontrolearjen op it ynternet. De ûntdutsen kwetsberens die bliken ûnomkearber te wêzen sûnder de direkte yntervinsje fan Apple en Google en waard fûn yn alle iPhone-modellen en allinich yn in pear modellen fan smartphones mei Android. Bygelyks, it is fûn yn 'e Google Pixel 2 en 3 modellen.
Eksperts rapporteare de ûntdekking fan 'e kwetsberens foar Apple yn augustus ferline jier, en Google waard yn desimber op 'e hichte brocht. De kwetsberens waard SensorID neamd en offisjeel oanwiisd CVE-2019-8541. Apple eliminearre it identifisearre gefaar mei de frijlitting fan in patch foar iOS 12.2 yn maart. Wat Google oangiet, hat it noch net reagearre op 'e identifisearre bedriging. Wy werhelje lykwols nochris dat wylst de SensorID-oanfal maklik waard útfierd op hast alle modellen fan Apple-smartphones, hiel pear smartphones dy't Android rinne, waarden dêr kwetsber foar fûn.
Wat is SensorID? Ut de namme is it maklik te begripen dat SensorID in unike identifier is foar sensoren. In soarte fan digitale hantekening fan it apparaat, dy't yn 'e measte gefallen oerienkomt mei in spesifike smartphone en dus hast altyd by in spesifike persoan heart.
Mei tank oan de ynspanningen fan feiligens ûndersikers, sa'n hantekening wie in set fan gegevens oer de kalibraasje fan magnetometer, accelerometer en gyroscope sensoren (foar dúdlike redenen, de produksje fan sensoren wurdt beselskippe troch in scatter fan parameters). Kalibraasjegegevens wurde skreaun yn 'e apparaatfirmware by it fabryk, en kinne jo de prestaasjes fan smartphones mei sensoren ferbetterje - it fergrutsjen fan de krektens fan posisjonearring en it antwurd fan' e smartphone op bewegingen. By it besjen fan in side op it ynternet mei elke browser of by it starten fan in applikaasje, bliuwt de smartphone yn jo hannen selden bewegingsleas. Siden lêze kalibraasjegegevens frij om oan te passen oan 'e smartphone en dit bart hast direkt. Dizze identifier kin dan brûkt wurde om in al identifisearre brûker op oare siden te folgjen. Wêr't er hinne giet, wêr't er yn ynteressearre is. Dizze metoade is perfoarst goed foar doelgerichte reklame. Ek troch ienfâldige aksjes kin sa'n identifier keppele wurde oan in persoan mei alle gefolgen dy't derop komme.
De totale kwetsberens fan Apple-smartphones foar de SensorID-oanfal wurdt ferklearre troch it feit dat hast alle iPhones kinne wurde klassifisearre as premium apparaten, wêrfan de fabrikaazje, ynklusyf fabrykkalibraasje fan sensoren, fan frij hege kwaliteit is. Yn dit gefal, dizze scrupulousness mislearre it bedriuw. Sels in fabryk weromsette wisket de SensorID digitale hantekening net. Snoadfoans mei Android binne in oare saak. Foar it grutste part, dit binne goedkeape apparaten, fabryk ynstellings dy't komselden wurde beselskippe troch sensor kalibraasje. As gefolch hawwe de measte Android-smartphones gjin digitale hantekening om in SensorID-oanfal út te fieren, hoewol premium apparaten garandearre wurde gearstald mei de juste kwaliteit en kinne wurde oanfallen op basis fan kalibraasjegegevens.
Boarne: 3dnews.ru