Android-och iOS-enheter påverkas av ny sensor kalibrering attack

0
147
SensorID attack

En ny enhet fingeravtryck teknik kan spåra Android-och iOS-enheter över Internet med hjälp av factory-set-sensor-kalibrering detaljer som någon app eller hemsida kan få utan att särskilda behörigheter.

Denna nya teknik, som kallas en kalibrering fingeravtryck attack, eller SensorID — fungerar med hjälp av kalibrering detaljer från gyroskop och magnetometer sensorer på iOS, och kalibrering detaljer från accelerometer, gyroskop, och magnetometer sensorer på Android-enheter.

Enligt ett team av forskare från University of Cambridge i STORBRITANNIEN, SensorID påverkan iOS-enheter mer än Android-smartphones. Anledningen är att Apple gillar att kalibrera iPhone och iPad sensorer på sin fabrik linje, en process som endast ett fåtal Android-leverantörer använder för att förbättra noggrannheten av sina smartphones’ sensorer.

Hur fungerar denna teknik fungerar?

“Vår strategi fungerar genom att noggrant analysera data från sensorer som är tillgängliga utan att några särskilda behörigheter för både webbplatser och appar,” forskning laget sa i en uppsats som publicerades i går.

“Vår analys dragit slutsatsen per enhet kalibrering på fabriken data som tillverkare bygger in i den fasta programvaran för smartphone för att kompensera för systematiska fel tillverkning [i sina enheter’ sensorer],” forskarna säger.

Denna kalibrering data kan sedan användas som ett fingeravtryck, som producerar en unik identifierare som reklam eller att företag kan använda analytics för att spåra en användare när de navigerar på internet.

Dessutom, eftersom kalibrering av sensor fingeravtryck är samma sak när extraheras med hjälp av en app eller via en webbplats, kan den här tekniken kan också användas för att spåra användare som de växla mellan webbläsare och appar från tredje part, så analytics-företag för att få en fullständig bild av vad användarna gör på sina enheter.

Dessutom är tekniken inte heller innebära några tekniska svårigheter för den enhet som gör allt för spårning.

“Att extrahera de kalibreringsdata som normalt tar mindre än en sekund och inte vara beroende av position eller orientering av enheten,” forskarna säger.

“Vi har också försökt att mäta sensor data på olika platser och under olika temperaturer; vi bekräftar att dessa faktorer inte ändra SensorID heller,” tillade de.

Sensor-kalibrering fingeravtryck också förändras aldrig, inte ens efter en factory reset, vilket gör att spåra enheter tillgång till en identifierare som unika och ihållande som en IMEI-kod.

Vidare kan denna typ av spårning är också tysta och osynliga för användarna. Detta beror på att appar eller webbplatser åtkomst sensor kalibrering information för att beräkna en enhet fingeravtryck inte behöver någon särskild tillåtelse att göra så.

Fixad i iOS, men inte Android

De tre personer forskargrupp som upptäckte denna nya spårning vektor sagt att de anmält både Apple och Google i augusti 2018, och December 2018, respektive

Apple lappat denna fråga (CVE-2019-8541) med lanseringen av iOS 12.2 i Mars i år genom att lägga till slumpmässigt brus till sensor kalibrering av utgång. Detta innebär att från och med iOS 12.2, iPhones och iPads kommer att generera ett nytt fingeravtryck med varje sensor kalibrering fråga, vilket gör denna typ av användare spårning värdelös.

Dessutom, om du vill ta bort alla andra potentiella huvudvärk, Apple också bort webbplatser förmåga att få tillgång till motion sensor data från Mobila Safari.

Men medan Apple var mer snabbt att fixa det här problemet, Google inte, och bara berättade forskare att de skulle undersöka.

Detta är mest troligt på grund av iOS-enheter är mer utsatta för denna typ av spårning än Android smartphones, där en stor del av det ekosystem består av låg-kostnad-enheter som använder okalibrerat rörelsesensorer.

Enligt forskarna, tracking-metoden de upptäckte var faktiskt fler som är farliga för Apple-enheter, främst på grund av enhet homogenitet och Apples tendens att leverera högre kvalitet telefoner med mycket exakt (kalibrerad) rörelsesensorer.

Men liknande topp-utbud Android smartphones var också sårbara. Under sina tester, forskarna sade att deras teknik genereras sensor kalibrering fingeravtryck för Pixel 2 och Pixel 3 enheter.

Mer information om denna forskning finns i en vitbok med titeln “SensorID: Sensor Kalibrering Fingeravtryck för Smartphones,” som presenterades igår på IEEE Symposium om Säkerhet och Integritet 2019 (IEEE S&P’s.19).

En demo-sida där användare kan se om deras enheter är utsatta och generera en sensor kalibrering fingeravtryck är också tillgängliga.

Mer sårbarhet rapporter:

Windows 10 zero-day exploit-kod släppt onlineGoogle att ersätta defekt Titan säkerhetsnycklar
En stor del av Ethereum kunder fortfarande unpatchedIntel Processorer påverkas av nya Zombieload sida-kanal attackPatch status för den nya MDS attacker mot Intel CPUsRoot konto inställningar finns i 20 procent av de 1 000 högsta Docker containersKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic

Relaterade Ämnen:

Apple

Säkerhet-TV

Hantering Av Data

CXO

Datacenter