Hivi majuzi, katika Kongamano la IEEE la Usalama na Faragha, kundi la watafiti kutoka Maabara ya Kompyuta ya Chuo Kikuu cha Cambridge. kuhusu athari mpya katika simu mahiri ambayo inaruhusu na bado inaruhusu watumiaji kufuatiliwa kwenye Mtandao. Athari iliyogunduliwa iligeuka kuwa isiyoweza kutenduliwa bila uingiliaji wa moja kwa moja wa Apple na Google na ilipatikana katika miundo yote ya iPhone na katika mifano michache tu ya simu mahiri zinazotumia Android. Kwa mfano, inapatikana katika mifano ya Google Pixel 2 na 3.
Wataalam waliripoti ugunduzi wa uwezekano wa Apple mnamo Agosti mwaka jana, na Google iliarifiwa mnamo Desemba. Athari hii iliitwa SensorID na iliteuliwa rasmi CVE-2019-8541. Apple iliondoa hatari iliyotambuliwa kwa kutolewa kwa kiraka cha iOS 12.2 mnamo Machi. Kuhusu Google, bado haijajibu tishio lililotambuliwa. Walakini, tunarudia tena kwamba wakati shambulio la SensorID lilifanywa kwa urahisi kwa karibu mifano yote ya simu mahiri za Apple, simu mahiri chache sana zinazotumia Android zilipatikana katika hatari yake.
SensorID ni nini? Kutoka kwa jina ni rahisi kuelewa kuwa SensorID ni kitambulisho cha kipekee cha vitambuzi. Aina ya saini ya dijiti ya kifaa, ambayo katika hali nyingi inalingana na smartphone maalum na, kwa hivyo, karibu kila wakati ni ya mtu maalum.
Shukrani kwa juhudi za watafiti wa usalama, saini kama hiyo ilikuwa seti ya data juu ya hesabu ya magnetometer, accelerometer na sensorer za gyroscope (kwa sababu za wazi, utengenezaji wa sensorer unaambatana na kutawanya kwa vigezo). Data ya urekebishaji imeandikwa kwenye firmware ya kifaa kwenye kiwanda, na hukuruhusu kuboresha utendaji wa simu mahiri zilizo na vihisi - kuongeza usahihi wa nafasi na mwitikio wa simu mahiri kwa mienendo. Unapotazama ukurasa kwenye Mtandao kwa kutumia kivinjari chochote au unapozindua programu, simu mahiri mikononi mwako mara chache hubaki bila kusonga. Tovuti husoma kwa uhuru data ya urekebishaji ili kuzoea simu mahiri na hii hufanyika mara moja. Kitambulisho hiki kinaweza kutumiwa kufuatilia mtumiaji ambaye tayari ametambuliwa kwenye tovuti zingine. Ambapo anaenda, anavutiwa na nini. Njia hii hakika ni nzuri kwa utangazaji unaolengwa. Pia, kupitia vitendo rahisi, kitambulisho kama hicho kinaweza kuunganishwa na mtu na matokeo yote yanayofuata.
Udhaifu wa jumla wa simu mahiri za Apple kwa shambulio la SensorID inaelezewa na ukweli kwamba karibu iPhones zote zinaweza kuainishwa kama vifaa vya malipo, utengenezaji wake, pamoja na urekebishaji wa kiwanda wa sensorer, ni wa hali ya juu sana. Katika kesi hiyo, scrupulousness hii imeshindwa kampuni. Hata uwekaji upya wa mipangilio iliyotoka nayo kiwandani haifuti saini ya dijiti ya SensorID. Simu mahiri zinazotumia Android ni jambo lingine. Kwa sehemu kubwa, hizi ni vifaa vya bei nafuu, mipangilio ya kiwanda ambayo mara chache hufuatana na calibration ya sensor. Kwa hivyo, simu mahiri nyingi za Android hazina saini ya dijiti ya kutekeleza shambulio la SensorID, ingawa vifaa vinavyolipiwa vinahakikishiwa kuunganishwa kwa ubora unaofaa na vinaweza kushambuliwa kulingana na data ya urekebishaji.
Chanzo: 3dnews.ru