Së fundmi, në Simpoziumin IEEE mbi Sigurinë dhe Privatësinë, një grup studiuesish nga Laboratori Kompjuterik i Universitetit të Kembrixhit për një dobësi të re në telefonat inteligjentë që lejoi dhe lejon ende përdoruesit të monitorohen në internet. Dëmtimi i zbuluar doli të ishte i pakthyeshëm pa ndërhyrjen e drejtpërdrejtë të Apple dhe Google dhe u gjet në të gjitha modelet e iPhone dhe vetëm në disa modele të smartfonëve me Android. Për shembull, ajo gjendet në modelet Google Pixel 2 dhe 3.
Ekspertët raportuan zbulimin e dobësisë tek Apple në gusht të vitit të kaluar dhe Google u njoftua në dhjetor. Dobësia u quajt SensorID dhe zyrtarisht u caktua CVE-2019-8541. Apple eliminoi rrezikun e identifikuar me lëshimin e një patch për iOS 12.2 në mars. Sa i përket Google, ai ende nuk i është përgjigjur kërcënimit të identifikuar. Megjithatë, ne e përsërisim edhe një herë se ndërsa sulmi SensorID u krye lehtësisht në pothuajse të gjitha modelet e smartfonëve Apple, shumë pak telefona inteligjentë me Android u gjetën të pambrojtur ndaj tij.
Çfarë është SensorID? Nga emri është e lehtë të kuptohet se SensorID është një identifikues unik për sensorët. Një lloj nënshkrimi dixhital i pajisjes, i cili në shumicën e rasteve korrespondon me një smartphone specifik dhe, për rrjedhojë, pothuajse gjithmonë i përket një personi specifik.
Falë përpjekjeve të studiuesve të sigurisë, një nënshkrim i tillë ishte një grup të dhënash për kalibrimin e sensorëve të magnetometrit, përshpejtuesit dhe xhiroskopit (për arsye të dukshme, prodhimi i sensorëve shoqërohet nga një shpërndarje parametrash). Të dhënat e kalibrimit shkruhen në firmuerin e pajisjes në fabrikë dhe ju lejojnë të përmirësoni performancën e telefonave inteligjentë me sensorë - duke rritur saktësinë e pozicionimit dhe reagimin e telefonit inteligjent ndaj lëvizjeve. Kur shikoni një faqe në internet duke përdorur ndonjë shfletues ose kur hapni një aplikacion, smartphone në duart tuaja rrallë mbetet i palëvizshëm. Sajtet lexojnë lirshëm të dhënat e kalibrimit për t'u përshtatur me smartfonin dhe kjo ndodh pothuajse menjëherë. Ky identifikues mund të përdoret më pas për të gjurmuar një përdorues të identifikuar tashmë në sajte të tjera. Ku shkon, çfarë i intereson. Kjo metodë është padyshim e mirë për reklamat e synuara. Gjithashtu, nëpërmjet veprimeve të thjeshta, një identifikues i tillë mund të lidhet me një person me të gjitha pasojat që pasojnë.
Dobësia totale e telefonave inteligjentë të Apple ndaj sulmit SensorID shpjegohet me faktin se pothuajse të gjithë iPhone-ët mund të klasifikohen si pajisje premium, prodhimi i të cilave, përfshirë kalibrimin e sensorëve në fabrikë, është me cilësi mjaft të lartë. Në këtë rast, kjo skrupulozitet i dështoi kompanisë. Edhe një rivendosje në gjendje fabrike nuk e fshin nënshkrimin dixhital të SensorID. Telefonat inteligjentë me Android janë një çështje tjetër. Në pjesën më të madhe, këto janë pajisje të lira, cilësimet e fabrikës së të cilave rrallë shoqërohen me kalibrim të sensorit. Si rezultat, shumica e telefonave inteligjentë Android nuk kanë një nënshkrim dixhital për të kryer një sulm SensorID, megjithëse pajisjet premium garantohen të montohen me cilësinë e duhur dhe mund të sulmohen bazuar në të dhënat e kalibrimit.
Burimi: 3dnews.ru