เมื่อเร็ว ๆ นี้ที่งาน IEEE Symposium on Security and Privacy กลุ่มนักวิจัยจากห้องปฏิบัติการคอมพิวเตอร์ของมหาวิทยาลัยเคมบริดจ์ เกี่ยวกับช่องโหว่ใหม่ในสมาร์ทโฟนที่อนุญาตและยังคงอนุญาตให้ผู้ใช้ถูกตรวจสอบบนอินเทอร์เน็ต ช่องโหว่ที่ค้นพบนี้กลับกลายเป็นว่าไม่สามารถย้อนกลับได้หากไม่ได้รับการแทรกแซงโดยตรงจาก Apple และ Google และพบได้ใน iPhone ทุกรุ่น และในสมาร์ทโฟนเพียงไม่กี่รุ่นที่ใช้ Android เท่านั้น เช่นพบได้ในรุ่น Google Pixel 2 และ 3
ผู้เชี่ยวชาญรายงานการค้นพบช่องโหว่ต่อ Apple ในเดือนสิงหาคมปีที่แล้ว และ Google ได้รับแจ้งในเดือนธันวาคม ช่องโหว่นี้เรียกว่า SensorID และกำหนดอย่างเป็นทางการว่า CVE-2019-8541 Apple กำจัดอันตรายที่ระบุด้วยการเปิดตัวแพตช์สำหรับ iOS 12.2 ในเดือนมีนาคม สำหรับ Google นั้นยังไม่ตอบสนองต่อภัยคุกคามที่ระบุ อย่างไรก็ตาม เราขอย้ำอีกครั้งว่าแม้ว่าการโจมตี SensorID จะดำเนินการได้อย่างง่ายดายบนสมาร์ทโฟน Apple เกือบทุกรุ่น มีสมาร์ทโฟนเพียงไม่กี่เครื่องที่ใช้ Android เท่านั้นที่พบว่ามีความเสี่ยง
SensorID คืออะไร? จากชื่อทำให้เข้าใจได้ง่ายว่า SensorID เป็นตัวระบุเฉพาะสำหรับเซ็นเซอร์ ลายเซ็นดิจิทัลชนิดหนึ่งของอุปกรณ์ ซึ่งโดยส่วนใหญ่แล้วจะสอดคล้องกับสมาร์ทโฟนเฉพาะและดังนั้นจึงเกือบจะเป็นของบุคคลใดบุคคลหนึ่งเสมอ
ด้วยความพยายามของนักวิจัยด้านความปลอดภัย ลายเซ็นดังกล่าวจึงเป็นชุดข้อมูลเกี่ยวกับการสอบเทียบแมกนีโตมิเตอร์ มาตรความเร่ง และไจโรสโคปเซ็นเซอร์ (ด้วยเหตุผลที่ชัดเจน การผลิตเซ็นเซอร์จะมาพร้อมกับพารามิเตอร์ที่กระจัดกระจาย) ข้อมูลการสอบเทียบจะถูกเขียนลงในเฟิร์มแวร์ของอุปกรณ์ที่โรงงาน และช่วยให้คุณปรับปรุงประสิทธิภาพของสมาร์ทโฟนที่มีเซ็นเซอร์ - เพิ่มความแม่นยำในการวางตำแหน่งและการตอบสนองของสมาร์ทโฟนต่อการเคลื่อนไหวของ เมื่อดูหน้าเว็บบนอินเทอร์เน็ตโดยใช้เบราว์เซอร์ใด ๆ หรือเมื่อเปิดแอปพลิเคชันสมาร์ทโฟนในมือของคุณแทบจะไม่นิ่ง ไซต์ต่างๆ อ่านข้อมูลการสอบเทียบได้อย่างอิสระเพื่อปรับให้เข้ากับสมาร์ทโฟน และเหตุการณ์นี้จะเกิดขึ้นเกือบจะในทันที ตัวระบุนี้สามารถใช้เพื่อติดตามผู้ใช้ที่ระบุแล้วบนไซต์อื่น เขาไปที่ไหนสนใจอะไร วิธีนี้ดีสำหรับการโฆษณาที่ตรงเป้าหมายอย่างแน่นอน นอกจากนี้ ด้วยการดำเนินการง่ายๆ ตัวระบุดังกล่าวสามารถเชื่อมโยงกับบุคคลที่มีผลกระทบที่ตามมาทั้งหมดได้
ช่องโหว่โดยรวมของสมาร์ทโฟน Apple ต่อการโจมตี SensorID นั้นอธิบายได้จากข้อเท็จจริงที่ว่า iPhone เกือบทั้งหมดสามารถจัดเป็นอุปกรณ์ระดับพรีเมียมได้ ซึ่งการผลิตซึ่งรวมถึงการสอบเทียบเซ็นเซอร์จากโรงงานนั้นมีคุณภาพค่อนข้างสูง ในกรณีนี้ความรอบคอบนี้ทำให้บริษัทล้มเหลว แม้แต่การรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานก็ไม่สามารถลบลายเซ็นดิจิทัล SensorID ได้ สมาร์ทโฟนที่ใช้ Android เป็นอีกเรื่องหนึ่ง ส่วนใหญ่เป็นอุปกรณ์ราคาไม่แพงซึ่งการตั้งค่าจากโรงงานซึ่งไม่ค่อยมีการสอบเทียบเซ็นเซอร์มาด้วย ด้วยเหตุนี้ สมาร์ทโฟน Android ส่วนใหญ่จึงไม่มีลายเซ็นดิจิทัลสำหรับการโจมตี SensorID แม้ว่าอุปกรณ์ระดับพรีเมียมจะรับประกันว่าจะประกอบด้วยคุณภาพที่เหมาะสมและสามารถถูกโจมตีได้โดยอาศัยข้อมูลการสอบเทียบ
ที่มา: 3dnews.ru