Վերջերս, IEEE Symposium on Security and Privacy, Քեմբրիջի համալսարանի համակարգչային լաբորատորիայի մի խումբ հետազոտողներ սմարթֆոնների նոր խոցելիության մասին, որը թույլ է տվել և թույլ է տալիս օգտատերերին վերահսկել ինտերնետում: Հայտնաբերված խոցելիությունը պարզվեց, որ անշրջելի է առանց Apple-ի և Google-ի անմիջական միջամտության և հայտնաբերվել է iPhone-ի բոլոր մոդելներում և միայն Android-ով աշխատող սմարթֆոնների մի քանի մոդելներում։ Օրինակ, այն հայտնաբերվել է Google Pixel 2 և 3 մոդելներում:
Փորձագետները հայտնել են Apple-ի խոցելիության հայտնաբերման մասին անցյալ տարվա օգոստոսին, իսկ Google-ը տեղեկացվել է դեկտեմբերին: Խոցելիությունը կոչվում էր SensorID և պաշտոնապես նշանակվեց CVE-2019-8541: Apple-ը վերացրել է հայտնաբերված վտանգը՝ մարտին iOS 12.2-ի համար պատչի թողարկմամբ։ Ինչ վերաբերում է Google-ին, ապա այն դեռ չի արձագանքել հայտնաբերված սպառնալիքին։ Այնուամենայնիվ, ևս մեկ անգամ կրկնում ենք, որ թեև SensorID հարձակումը հեշտությամբ իրականացվել է Apple սմարթֆոնների գրեթե բոլոր մոդելների վրա, Android-ով աշխատող շատ քիչ սմարթֆոններ խոցելի են գտնվել դրա նկատմամբ:
Ինչ է SensorID-ը: Անվանումից հեշտ է հասկանալ, որ SensorID-ը սենսորների եզակի նույնացուցիչ է: Սարքի մի տեսակ թվային ստորագրություն, որը շատ դեպքերում համապատասխանում է կոնկրետ սմարթֆոնի և, հետևաբար, գրեթե միշտ պատկանում է կոնկրետ անձի։
Անվտանգության հետազոտողների ջանքերի շնորհիվ նման ստորագրություն էր մագնիսաչափի, արագացուցիչի և գիրոսկոպի սենսորների տրամաչափման վերաբերյալ տվյալների մի շարք (հասկանալի պատճառներով սենսորների արտադրությունը ուղեկցվում է պարամետրերի ցրմամբ): Կալիբրացիայի տվյալները գրվում են սարքի որոնվածում գործարանում և թույլ են տալիս բարելավել սմարթֆոնների աշխատանքը սենսորներով՝ բարձրացնելով դիրքավորման ճշգրտությունը և սմարթֆոնի արձագանքը շարժումներին: Ինտերնետում որևէ էջ դիտելիս ցանկացած բրաուզերի միջոցով կամ հավելված գործարկելիս սմարթֆոնը ձեր ձեռքում հազվադեպ է մնում անշարժ: Կայքերն ազատորեն կարդում են տրամաչափման տվյալները՝ սմարթֆոնին հարմարվելու համար, և դա տեղի է ունենում գրեթե ակնթարթորեն: Այնուհետև այս նույնացուցիչը կարող է օգտագործվել այլ կայքերում արդեն իսկ ճանաչված օգտվողին հետևելու համար: Ուր է գնում, ինչով է հետաքրքրվում։ Այս մեթոդը միանշանակ լավ է նպատակային գովազդի համար: Նաև պարզ գործողությունների միջոցով նման նույնացուցիչը կարող է կապված լինել անձի հետ՝ դրանից բխող բոլոր հետևանքներով:
Apple-ի սմարթֆոնների ընդհանուր խոցելիությունը SensorID հարձակման նկատմամբ բացատրվում է նրանով, որ գրեթե բոլոր iPhone-ները կարող են դասակարգվել որպես պրեմիում սարքեր, որոնց արտադրությունը, ներառյալ սենսորների գործարանային ստուգաչափումը, բավականին բարձր որակի է: Այս դեպքում այս բծախնդիրությունը ձախողեց ընկերությանը։ Նույնիսկ գործարանային վերակայումը չի ջնջում SensorID թվային ստորագրությունը: Այլ խնդիր է Android-ով աշխատող սմարթֆոնները: Մեծ մասամբ դրանք էժան սարքեր են, որոնց գործարանային կարգավորումները հազվադեպ են ուղեկցվում սենսորային տրամաչափմամբ: Արդյունքում, Android սմարթֆոնների մեծամասնությունը չունի թվային ստորագրություն SensorID հարձակում իրականացնելու համար, թեև պրեմիում սարքերը երաշխավորված են պատշաճ որակով հավաքվելու և կարող են հարձակվել տրամաչափման տվյալների հիման վրա:
Source: 3dnews.ru