Pred kratkim je na simpoziju IEEE o varnosti in zasebnosti skupina raziskovalcev iz računalniškega laboratorija Univerze v Cambridgeu o novi ranljivosti v pametnih telefonih, ki je omogočala in še omogoča nadzor uporabnikov na internetu. Odkrita ranljivost se je izkazala za nepopravljivo brez neposrednega posredovanja Appla in Googla in je bila najdena v vseh modelih iPhone in le v nekaj modelih pametnih telefonov z operacijskim sistemom Android. Na primer, najdemo ga v modelih Google Pixel 2 in 3.
O odkritju ranljivosti so strokovnjaki Apple poročali avgusta lani, Google pa je bil o tem obveščen decembra. Ranljivost je bila imenovana SensorID in uradno označena kot CVE-2019-8541. Apple je ugotovljeno nevarnost odpravil z izdajo popravka za iOS 12.2 marca. Kar zadeva Google, se ta še ni odzval na prepoznano grožnjo. Vendar še enkrat ponavljamo, da čeprav je bil napad SensorID zlahka izveden na skoraj vseh modelih pametnih telefonov Apple, je bilo ugotovljeno, da je zelo malo pametnih telefonov z operacijskim sistemom Android ranljivih zanj.
Kaj je SensorID? Iz imena je enostavno razumeti, da je SensorID edinstven identifikator za senzorje. Nekakšen digitalni podpis naprave, ki v večini primerov ustreza določenemu pametnemu telefonu in zato skoraj vedno pripada določeni osebi.
Zahvaljujoč prizadevanjem varnostnih raziskovalcev je bil takšen podpis nabor podatkov o kalibraciji senzorjev magnetometra, merilnika pospeška in žiroskopa (iz očitnih razlogov proizvodnjo senzorjev spremlja razpršenost parametrov). Podatki o umerjanju so tovarniško zapisani v vdelano programsko opremo naprave in vam omogočajo, da izboljšate delovanje pametnih telefonov s senzorji – povečate natančnost pozicioniranja in odziv pametnega telefona na premike. Ko si ogledate stran v internetu s katerim koli brskalnikom ali ko zaženete aplikacijo, pametni telefon v vaših rokah le redko ostane negiben. Spletna mesta prosto berejo podatke o umerjanju, da se prilagodijo pametnemu telefonu, in to se zgodi skoraj v trenutku. Ta identifikator se lahko nato uporabi za sledenje že identificiranemu uporabniku na drugih spletnih mestih. Kam gre, kaj ga zanima. Ta metoda je vsekakor dobra za ciljano oglaševanje. Tudi s preprostimi dejanji je mogoče tak identifikator povezati z osebo z vsemi posledicami, ki iz tega izhajajo.
Popolna ranljivost pametnih telefonov Apple za napad SensorID je razložena z dejstvom, da lahko skoraj vse telefone iPhone uvrstimo med vrhunske naprave, katerih izdelava, vključno s tovarniško kalibracijo senzorjev, je precej kakovostna. V tem primeru je ta natančnost zatajila podjetje. Tudi ponastavitev na tovarniške nastavitve ne izbriše digitalnega podpisa SensorID. Pametni telefoni z Androidom so druga stvar. Večinoma gre za poceni naprave, katerih tovarniške nastavitve le redko spremljajo kalibracije senzorjev. Posledično večina pametnih telefonov Android nima digitalnega podpisa za izvedbo napada SensorID, čeprav je zagotovljeno, da so vrhunske naprave sestavljene z ustrezno kakovostjo in jih je mogoče napadeti na podlagi podatkov o umerjanju.
Vir: 3dnews.ru