Een nieuw device fingerprinting techniek kunnen bijhouden van Android-en iOS-apparaten via het Internet met behulp van fabrieks-kalibratie gegevens die een app of website kunt verkrijgen is zonder speciale rechten.
Deze nieuwe techniek-het heet een kalibratie-fingerprinting vallen, of SensorID — werken met behulp van de kalibratie van de details van de gyroscoop en magnetometer met een nauwkeurigheid van sensoren op iOS; en de kalibratie van de details van de accelerometer, gyroscoop en magnetometer met een nauwkeurigheid van sensoren op Android-apparaten.
Volgens een team van wetenschappers van de Universiteit van Cambridge in het verenigd koninkrijk, SensorID effecten iOS-apparaten meer dan de Android-smartphones. De reden is dat Apple graag kalibreren iPhone en iPad sensoren op de factory line, een proces dat slechts een paar Android-leveranciers gebruiken voor het verbeteren van de juistheid van hun smartphones’ – sensoren.
Hoe werkt deze techniek in zijn werk?
“Onze aanpak werkt door het zorgvuldig analyseren van de gegevens uit sensoren die toegankelijk zijn zonder speciale machtigingen voor websites en apps,” het onderzoeksteam zei in een research paper, dat gisteren is gepubliceerd.
“Onze analyse suggereert de per-apparaat in de fabriek kalibratie gegevens die de fabrikanten insluiten in de firmware van de smartphone om te compenseren voor de systematische productie fouten (in hun apparaten’ sensoren],” de onderzoekers gezegd.
Deze kalibratie gegevens kunnen vervolgens worden gebruikt als een vingerafdruk, het produceren van een unieke id die reclame of de google analytics-bedrijven kunnen bijhouden van een gebruiker, zij het navigeren over het internet.
Bovendien, omdat de kalibratie van de sensor vingerafdruk is hetzelfde als geëxtraheerd met behulp van een app of via een website, deze techniek kan ook worden gebruikt om gebruikers te volgen als ze schakelen tussen browsers en apps van derden, waardoor analytics-bedrijven om een volledige weergave van wat gebruikers doen op hun apparaten.
Daarnaast is de techniek ook niet voor eventuele technische problemen voor de entiteit die alle de tracking.
“Met het uitpakken van de kalibratie gegevens duurt meestal minder dan een seconde en is niet afhankelijk van de positie of de richting van het apparaat, de” onderzoekers gezegd.
“We hebben ook geprobeerd het meten van de sensor data op verschillende locaties en onder verschillende temperaturen; wij bevestigen dat deze factoren niet veranderen van de SensorID,” ze toegevoegd.
De sensor kalibratie vingerafdruk ook verandert nooit, zelfs na een reset naar de fabrieksinstellingen, waardoor tracking entiteiten toegang tot een identificatie als uniek en blijvend als de IMEI-code.
Verder is dit type van tracking is ook stil en onzichtbaar voor de gebruiker. Dit is omdat apps of websites de toegang tot kalibratie gegevens voor het berekenen van een apparaat vingerafdruk hebt geen speciale toestemming om dit te doen.
Patched in iOS, maar niet Android
De drie-persoon onderzoeksteam de ontdekker van deze nieuwe tracking vector zei ze geïnformeerd Apple en Google in augustus 2018 en December 2018, respectievelijk
Apple gepatcht dit probleem (CVE-2019-8541) met de release van iOS 12.2 in Maart van dit jaar door het toevoegen van willekeurige ruis op de sensor kalibratie-uitgang. Dit betekent dat vanaf iOS 12.2, iPhones en iPads zal het genereren van een nieuwe vingerafdruk met elke sensor kalibratie query maken van dit type van gebruiker-tracking nutteloos.
Bovendien, voor het verwijderen van andere potentiële hoofdpijn, Apple ook verwijderd websites mogelijkheid om toegang te krijgen tot de sensor van de motie van gegevens uit Mobile Safari.
Maar terwijl Apple was meer gevraagd om dit probleem te verhelpen, Google was er niet, en alleen vertelde de onderzoekers dat ze zou onderzoeken.
Dit is het meest waarschijnlijk, omdat iOS-apparaten zijn dan ook meer blootgesteld aan dit soort tracking dan Android-smartphones, waar een groot deel van het ecosysteem is gemaakt van low-cost apparaten die gebruik maken van niet-gekalibreerde bewegingssensoren.
Volgens het onderzoeksteam, de tracking methode ze ontdekten was, inderdaad, gevaarlijker voor de Apple-apparaten, vooral omdat het apparaat homogeniteit en Apple ‘ s neiging om het schip met een hogere kwaliteit handsets met zeer nauwkeurige (gekalibreerd) bewegingsmelders.
Echter, een soortgelijke top-range Android-smartphones waren ook kwetsbaar. Tijdens de test, maar de onderzoekers zeggen dat hun techniek met succes gegenereerd sensor kalibratie vingerafdrukken voor Pixel 2 en Pixel 3 apparaten.
Meer details over dit onderzoek zijn beschikbaar in een whitepaper met de titel “SensorID: Kalibratie Fingerprinting voor Smartphones”, dat werd gepresenteerd gisteren op de IEEE Symposium over Veiligheid en Privacy 2019 (IEEE S&P’19).
Een demo pagina waar gebruikers kunnen zien of hun apparaat is kwetsbaar en het genereren van een sensor kalibratie vingerafdruk is ook beschikbaar.
Meer kwetsbaarheid rapporten:
Windows 10 zero-day exploit code vrijgegeven onlineGoogle te vervangen defecte Titan beveiligingssleutels
Een groot deel van Ethereum cliënten blijven unpatchedIntel Cpu ‘ s beïnvloed door nieuwe Zombieload side-channel attackPatch status voor de nieuwe MDS aanvallen tegen Intel CPUsRoot account onjuiste gevonden in 20% van de top 1.000 van de Docker containersKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters