Жақында IEEE қауіпсіздік және құпиялылық симпозиумында Кембридж университетінің компьютерлік зертханасының бір топ зерттеушілері пайдаланушыларды Интернетте бақылауға мүмкіндік беретін және әлі де мүмкіндік беретін смартфондардағы жаңа осалдық туралы. Табылған осалдық Apple мен Google-дың тікелей араласуынсыз қайтымсыз болып шықты және барлық iPhone үлгілерінде және Android операциялық жүйесінде жұмыс істейтін смартфондардың бірнеше үлгілерінде ғана табылды. Мысалы, ол Google Pixel 2 және 3 үлгілерінде кездеседі.
Сарапшылар Apple компаниясының осалдығы туралы өткен жылдың тамыз айында хабарлаған, ал Google бұл туралы желтоқсанда хабарлаған. Осалдық SensorID деп аталды және ресми түрде CVE-2019-8541 деп аталды. Apple анықталған қауіпті наурыз айында iOS 12.2 үшін патч шығару арқылы жойды. Google-ға келетін болсақ, ол анықталған қауіпке әлі жауап берген жоқ. Дегенмен, біз тағы бір рет қайталаймыз, SensorID шабуылы Apple смартфондарының барлық дерлік модельдерінде оңай жүзеге асырылғанымен, Android операциялық жүйесінде жұмыс істейтін смартфондар өте аз ғана оған осал болды.
SensorID дегеніміз не? Атауынан SensorID сенсорлар үшін бірегей идентификатор екенін түсіну оңай. Құрылғының сандық қолтаңбасының бір түрі, ол көп жағдайда белгілі бір смартфонға сәйкес келеді, сондықтан әрқашан дерлік белгілі бір адамға тиесілі.
Қауіпсіздік зерттеушілерінің күш-жігерінің арқасында мұндай қол магнитометрді, акселерометрді және гироскопты датчиктерді калибрлеу туралы деректер жиынтығы болды (анық себептермен сенсорларды өндіру параметрлердің шашырауымен бірге жүреді). Калибрлеу деректері зауытта құрылғының микробағдарламасына жазылады және сенсорлары бар смартфондардың жұмысын жақсартуға мүмкіндік береді - орналасу дәлдігін және смартфонның қозғалыстарға реакциясын арттырады. Кез келген шолғышты пайдаланып Интернеттегі бетті қараған кезде немесе қолданбаны іске қосқан кезде қолыңыздағы смартфон сирек қозғалыссыз қалады. Сайттар смартфонға бейімделу үшін калибрлеу деректерін еркін оқиды және бұл бірден орын алады. Бұл идентификаторды басқа сайттардағы бұрыннан анықталған пайдаланушыны қадағалау үшін пайдалануға болады. Ол қайда барады, оны не қызықтырады. Бұл әдіс мақсатты жарнама үшін жақсы. Сондай-ақ, қарапайым әрекеттер арқылы мұндай идентификаторды барлық кейінгі салдары бар адамға байланыстыруға болады.
Apple смартфондарының SensorID шабуылына жалпы осалдығы барлық дерлік iPhone телефондарын премиум-құрылғыларға жатқызуға болатындығымен түсіндіріледі, олардың өндірісі, соның ішінде сенсорлардың зауыттық калибрленуі өте жоғары сапалы. Бұл жағдайда бұл ұқыптылық компанияны сәтсіздікке ұшыратты. Тіпті зауыттық параметрлерді қалпына келтіру SensorID цифрлық қолтаңбасын өшірмейді. Android жүйесінде жұмыс істейтін смартфондар басқа мәселе. Көбінесе бұл қымбат емес құрылғылар, олардың зауыттық параметрлері сирек сенсорды калибрлеумен бірге жүреді. Нәтижесінде, Android смартфондарының көпшілігінде SensorID шабуылын жүзеге асыру үшін сандық қолтаңба жоқ, дегенмен премиум құрылғылардың тиісті сапамен жинақталуына кепілдік беріледі және оларды калибрлеу деректері негізінде шабуылдауға болады.
Ақпарат көзі: 3dnews.ru