Железо

Все iPhone и некоторые смартфоны на Android оказались уязвимы для атаки по датчикам

Обнаруженная уязвимость оказалась неотключаемой без прямого вмешательства компаний Apple и Google и была обнаружена во всех моделях iPhone и лишь в нескольких моделях смартфонов под управлением Android. На днях на симпозиуме IEEE Symposium on Security and Privacy группа исследователей из Компьютерной лаборатории Кембриджского университета рассказала о новой уязвимости смартфонов, которая позволяла и позволяет следить за пользователями в Интернете. Например, она найдена в моделях Google Pixel 2 и 3.

Уязвимость получила название SensorID и официальное обозначение CVE-2019-8541. Об обнаружении уязвимости специалисты доложили компании Apple в августе прошлого года, а компания Google была уведомлена в декабре. 2 устранила выявленную опасность. Компания Apple в марте с выпуском заплатки для iOS 12. Впрочем, ещё раз повторим, если атака SensorID легко проводилась на практически все модели смартфонов компании Apple, то уязвимых для неё смартфонов под управлением Android обнаружено очень мало. Что касается Google, то она пока никак не отреагировала на выявленную угрозу.

Из названия легко понять, что SensorID ― это уникальный идентификатор по датчикам. Что же такое SensorID? Своего рода цифровая подпись устройства, которая в большинстве случаев соответствует определённому смартфону и, следовательно, почти всегда принадлежит конкретному человеку.

Данные о калибровке прописываются в прошивке устройства на заводе, и позволяют улучшить работу смартфонов с датчиками ― увеличивают точность позиционирования и реакции смартфона на движения. Стараниями исследователей по безопасности такой подписью стал набор данных о калибровке датчиков магнитометра, акселерометра и гироскопа (по понятным причинам, производство датчиков сопровождается разбросом параметров). Сайты свободно считывают данные о калибровке, чтобы подстроиться под смартфон и это происходит почти мгновенно. При просмотре странички в Интернете с помощью любого браузера или при запуске приложения смартфон в руках редко остаётся неподвижным. Куда ходит, чем интересуется. Затем этот идентификатор можно использовать для отслеживания уже определённого пользователя на других сайтах. Также путём нехитрых действий такой идентификатор можно привязать к личности со всеми вытекающими последствиями. Определённо, этот метод хорошо использовать для таргетированной рекламы.

В данном случае эта скрупулёзность подвела компанию. Тотальная уязвимость смартфонов Apple к атаке SensorID объясняется тем, что практически все iPhone можно отнести к устройствам премиального класса, изготовление которых, включая заводскую калибровку датчиков, довольно высокого качества. Другое дело смартфоны под управлением Android. Даже сброс до заводских установок не стирает цифровую подпись SensorID. Как результат, большинство смартфонов с Android не имеют условной цифровой подписи для проведения атаки SensorID, хотя премиальные аппараты гарантированно собираются с должным качеством и могут быть атакованы по данным калибровки. В массе это недорогие устройства, заводская настройка которых редко сопровождается калибровкой датчиков.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть