Nýlega, á IEEE málþinginu um öryggi og friðhelgi einkalífsins, hópur vísindamanna frá tölvurannsóknarstofu háskólans í Cambridge. о новой уязвимости смартфонов, которая позволяла и позволяет следить за пользователями в Интернете. Обнаруженная уязвимость оказалась неотключаемой без прямого вмешательства компаний Apple и Google и была обнаружена во всех моделях iPhone и лишь в нескольких моделях смартфонов под управлением Android. Например, она найдена в моделях Google Pixel 2 и 3.
Об обнаружении уязвимости специалисты доложили компании Apple в августе прошлого года, а компания Google была уведомлена в декабре. Уязвимость получила название SensorID и официальное обозначение CVE-2019-8541. Компания Apple в марте с выпуском заплатки для iOS 12.2 устранила выявленную опасность. Что касается Google, то она пока никак не отреагировала на выявленную угрозу. Впрочем, ещё раз повторим, если атака SensorID легко проводилась на практически все модели смартфонов компании Apple, то уязвимых для неё смартфонов под управлением Android обнаружено очень мало.
Hvað er SensorID? Af nafninu er auðvelt að skilja að SensorID er einstakt auðkenni fyrir skynjara. Eins konar stafræn undirskrift tækisins, sem í flestum tilfellum samsvarar tilteknum snjallsíma og tilheyrir því nánast alltaf tilteknum einstaklingi.
Þökk sé viðleitni öryggisrannsakenda var slík undirskrift safn gagna um kvörðun segulmælis, hröðunarmælis og gyroscope skynjara (af augljósum ástæðum fylgir framleiðslu skynjara dreifingu af breytum). Kvörðunargögn eru skráð inn í vélbúnaðar tækisins í verksmiðjunni og gera þér kleift að bæta afköst snjallsíma með skynjurum - auka nákvæmni staðsetningar og viðbrögð snjallsímans við hreyfingum. Þegar þú skoðar síðu á netinu með hvaða vafra sem er eða þegar þú opnar forrit er snjallsíminn í höndum þínum sjaldan hreyfingarlaus. Síður lesa kvörðunargögn frjálslega til að laga sig að snjallsímanum og þetta gerist nánast samstundis. Þetta auðkenni er síðan hægt að nota til að rekja þegar auðkenndan notanda á öðrum síðum. Hvert hann fer, hverju hann hefur áhuga á. Þessi aðferð er örugglega góð fyrir markvissar auglýsingar. Einnig, með einföldum aðgerðum, er hægt að tengja slíkt auðkenni við einstakling með öllum þeim afleiðingum sem það hefur í för með sér.
Тотальная уязвимость смартфонов Apple к атаке SensorID объясняется тем, что практически все iPhone можно отнести к устройствам премиального класса, изготовление которых, включая заводскую калибровку датчиков, довольно высокого качества. В данном случае эта скрупулёзность подвела компанию. Даже сброс до заводских установок не стирает цифровую подпись SensorID. Другое дело смартфоны под управлением Android. В массе это недорогие устройства, заводская настройка которых редко сопровождается калибровкой датчиков. Как результат, большинство смартфонов с Android не имеют условной цифровой подписи для проведения атаки SensorID, хотя премиальные аппараты гарантированно собираются с должным качеством и могут быть атакованы по данным калибровки.
Heimild: 3dnews.ru
