Anyar-anyar ieu, dina IEEE Symposium on Security and Privacy, sakelompok peneliti ti Laboratorium Komputer Universitas Cambridge. ngeunaan kerentanan anyar dina smartphone nu diwenangkeun tur masih ngamungkinkeun pamaké pikeun diawaskeun dina Internét. Kerentanan anu dipendakan tétéla henteu tiasa malik tanpa campur tangan langsung Apple sareng Google sareng kapanggih dina sadaya modél iPhone sareng ngan dina sababaraha modél smartphone anu ngajalankeun Android. Salaku conto, éta kapanggih dina modél Google Pixel 2 sareng 3.
Para ahli ngalaporkeun kapanggihna kerentanan ka Apple dina bulan Agustus taun ka tukang, sareng Google dibéjakeun dina bulan Désémber. Kerentanan ieu disebut SensorID sareng sacara resmi ditunjuk CVE-2019-8541. Apple ngaleungitkeun bahaya anu dicirikeun ku sékrési patch pikeun ios 12.2 dina Maret. Sedengkeun pikeun Google, éta henteu acan ngaréspon kana ancaman anu diidentifikasi. Nanging, urang ngulang sakali deui yén nalika serangan SensorID gampang dilaksanakeun dina ampir sadaya modél smartphone Apple, sakedik pisan smartphone anu ngajalankeun Android kapanggih rentan ka éta.
Naon SensorID? Tina nami éta gampang ngartos yén SensorID mangrupikeun identifier unik pikeun sensor. Jenis tanda tangan digital alat, anu dina kalolobaan kasus pakait sareng smartphone khusus sareng, ku kituna, ampir sok milik jalma anu khusus.
Hatur nuhun kana usaha panaliti kaamanan, tanda tangan sapertos kitu mangrupikeun set data ngeunaan kalibrasi magnetometer, accelerometer sareng sensor giroskop (kusabab écés, produksi sensor dibarengan ku paburencay parameter). Data Calibration ditulis kana firmware alat di pabrik, sarta ngidinan Anjeun pikeun ngaronjatkeun kinerja smartphone kalawan sensor - ngaronjatna akurasi positioning jeung respon smartphone kana gerakan. Nalika ningali halaman dina Internét nganggo browser naon waé atanapi nalika ngaluncurkeun aplikasi, smartphone dina panangan anjeun jarang tetep teu gerak. Situs bebas maca data calibration pikeun adaptasi jeung smartphone jeung ieu kajadian ampir instan. Identifier ieu teras tiasa dianggo pikeun ngalacak pangguna anu parantos diidentifikasi dina situs anu sanés. Dimana anjeunna angkat, naon anu dipikaresep ku anjeunna. Metoda ieu pasti alus pikeun iklan sasaran. Ogé, ngaliwatan lampah basajan, hiji identifier bisa numbu ka jalma kalawan sagala konsékuansi salajengna.
Kerentanan total smartphone Apple kana serangan SensorID dijelaskeun ku kanyataan yén ampir sadaya iPhones tiasa digolongkeun kana alat premium, anu manufakturna, kalebet pabrik kalibrasi sensor, kualitasna cukup luhur. Dina hal ieu, scrupulousness ieu gagal pausahaan. Malah reset pabrik henteu mupus tanda tangan digital SensorID. Smartphone anu ngajalankeun Android mangrupikeun masalah sanés. Kanggo sabagéan ageung, ieu mangrupikeun alat anu murah, setélan pabrik anu jarang dibarengan ku kalibrasi sensor. Hasilna, kalolobaan smartphone Android henteu gaduh tanda tangan digital pikeun ngalaksanakeun serangan SensorID, sanaos alat premium dijamin bakal dirakit kalayan kualitas anu pas sareng tiasa diserang dumasar kana data kalibrasi.
sumber: 3dnews.ru