Recent, la Simpozionul IEEE privind securitatea și confidențialitatea, un grup de cercetători de la Laboratorul de calculatoare al Universității din Cambridge despre o nouă vulnerabilitate a smartphone-urilor care a permis și permite încă monitorizarea utilizatorilor pe Internet. Vulnerabilitatea descoperită s-a dovedit a fi ireversibilă fără intervenția directă a Apple și Google și a fost găsită la toate modelele de iPhone și doar la câteva modele de smartphone-uri care rulează Android. De exemplu, se găsește în modelele Google Pixel 2 și 3.
Experții au raportat Apple descoperirea vulnerabilității în august anul trecut, iar Google a fost anunțat în decembrie. Vulnerabilitatea a fost numită SensorID și desemnată oficial CVE-2019-8541. Apple a eliminat pericolul identificat prin lansarea unui patch pentru iOS 12.2 în martie. În ceea ce privește Google, încă nu a răspuns la amenințarea identificată. Cu toate acestea, repetăm încă o dată că, deși atacul SensorID a fost efectuat cu ușurință pe aproape toate modelele de smartphone-uri Apple, foarte puține smartphone-uri care rulează Android au fost considerate vulnerabile la acesta.
Ce este SensorID? Din nume este ușor de înțeles că SensorID este un identificator unic pentru senzori. Un fel de semnătură digitală a dispozitivului, care în majoritatea cazurilor corespunde unui anumit smartphone și, prin urmare, aproape întotdeauna aparține unei anumite persoane.
Datorită eforturilor cercetătorilor de securitate, o astfel de semnătură a fost un set de date privind calibrarea senzorilor magnetometru, accelerometru și giroscop (din motive evidente, producția de senzori este însoțită de o împrăștiere de parametri). Datele de calibrare sunt scrise în firmware-ul dispozitivului din fabrică și vă permit să îmbunătățiți performanța smartphone-urilor cu senzori - crescând precizia poziționării și răspunsul smartphone-ului la mișcări. Când vizualizați o pagină pe Internet folosind orice browser sau când lansați o aplicație, smartphone-ul din mâinile tale rămâne rareori nemișcat. Site-urile citesc liber datele de calibrare pentru a se adapta la smartphone și acest lucru se întâmplă aproape instantaneu. Acest identificator poate fi apoi utilizat pentru a urmări un utilizator deja identificat pe alte site-uri. Unde merge, ce îl interesează. Această metodă este cu siguranță bună pentru publicitate direcționată. De asemenea, prin acțiuni simple, un astfel de identificator poate fi legat de o persoană cu toate consecințele care decurg.
Vulnerabilitatea totală a smartphone-urilor Apple la atacul SensorID se explică prin faptul că aproape toate iPhone-urile pot fi clasificate drept dispozitive premium, a căror producție, inclusiv calibrarea din fabrică a senzorilor, este de o calitate destul de înaltă. În acest caz, această scrupulozitate a eșuat compania. Nici măcar o resetare din fabrică nu șterge semnătura digitală SensorID. Smartphone-urile care rulează Android sunt o altă problemă. În cea mai mare parte, acestea sunt dispozitive ieftine, ale căror setări din fabrică sunt rareori însoțite de calibrarea senzorului. Ca urmare, majoritatea smartphone-urilor Android nu au o semnătură digitală pentru a efectua un atac SensorID, deși dispozitivele premium sunt garantate a fi asamblate cu calitatea corespunzătoare și pot fi atacate pe baza datelor de calibrare.
Sursa: 3dnews.ru