Baru-baru ini, di Simposium IEEE tentang Keamanan dan Privasi, sekelompok peneliti dari Laboratorium Komputer Universitas Cambridge tentang kerentanan baru pada ponsel cerdas yang memungkinkan dan masih memungkinkan pengguna untuk dipantau di Internet. Kerentanan yang ditemukan ternyata tidak dapat diubah tanpa intervensi langsung dari Apple dan Google dan ditemukan di semua model iPhone dan hanya di beberapa model ponsel cerdas yang menjalankan Android. Misalnya, ditemukan pada model Google Pixel 2 dan 3.
Para ahli melaporkan penemuan kerentanan terhadap Apple pada bulan Agustus tahun lalu, dan Google diberitahu pada bulan Desember. Kerentanan tersebut disebut SensorID dan secara resmi diberi nama CVE-2019-8541. Apple menghilangkan bahaya yang teridentifikasi dengan merilis patch untuk iOS 12.2 pada bulan Maret. Sedangkan untuk Google, pihaknya belum menanggapi ancaman yang teridentifikasi. Namun, kami ulangi sekali lagi bahwa meskipun serangan SensorID mudah dilakukan di hampir semua model ponsel pintar Apple, hanya sedikit ponsel pintar yang menjalankan Android yang rentan terhadapnya.
Apa itu SensorID? Dari namanya mudah dipahami bahwa SensorID adalah pengenal unik untuk sensor. Semacam tanda tangan digital perangkat, yang dalam banyak kasus sesuai dengan ponsel cerdas tertentu dan, oleh karena itu, hampir selalu milik orang tertentu.
Berkat upaya peneliti keamanan, tanda tangan tersebut adalah kumpulan data tentang kalibrasi sensor magnetometer, akselerometer, dan giroskop (untuk alasan yang jelas, produksi sensor disertai dengan variasi parameter). Data kalibrasi ditulis ke dalam firmware perangkat di pabrik, dan memungkinkan Anda meningkatkan kinerja ponsel cerdas dengan sensor - meningkatkan keakuratan posisi dan respons ponsel cerdas terhadap gerakan. Saat melihat halaman di Internet menggunakan browser apa pun atau saat meluncurkan aplikasi, ponsel cerdas di tangan Anda jarang tidak bergerak. Situs dengan bebas membaca data kalibrasi untuk beradaptasi dengan ponsel cerdas dan ini terjadi hampir seketika. Pengidentifikasi ini kemudian dapat digunakan untuk melacak pengguna yang sudah teridentifikasi di situs lain. Kemana dia pergi, apa yang dia minati. Cara ini pasti bagus untuk iklan bertarget. Selain itu, melalui tindakan sederhana, pengenal semacam itu dapat dikaitkan dengan seseorang dengan segala konsekuensinya.
Kerentanan total ponsel pintar Apple terhadap serangan SensorID dijelaskan oleh fakta bahwa hampir semua iPhone dapat diklasifikasikan sebagai perangkat premium, yang pembuatannya, termasuk kalibrasi sensor pabrik, memiliki kualitas yang cukup tinggi. Dalam hal ini, ketelitian ini mengecewakan perusahaan. Bahkan reset pabrik tidak menghapus tanda tangan digital SensorID. Smartphone yang menjalankan Android adalah masalah lain. Sebagian besar, ini adalah perangkat murah, pengaturan pabriknya jarang disertai dengan kalibrasi sensor. Akibatnya, sebagian besar smartphone Android tidak memiliki tanda tangan digital untuk melakukan serangan SensorID, meskipun perangkat premium dijamin dirakit dengan kualitas yang baik dan dapat diserang berdasarkan data kalibrasi.
Sumber: 3dnews.ru