En ny enhed fingeraftryk teknik kan spore Android-og iOS-enheder på tværs af Internettet ved hjælp af fabrikken indstillet sensor kalibrering detaljer, at en app eller en hjemmeside kan få, uden særlige tilladelser.
Denne nye teknik — kaldes en kalibrering fingeraftryk angreb, eller SensorID — virker ved hjælp af kalibrering detaljer fra gyroskop og magnetometer sensorer på iOS; og kalibrering detaljer fra accelerometer, gyroskop, og magnetometer sensorer på Android-enheder.
Ifølge et team af forskere fra University of Cambridge i ENGLAND, SensorID virkninger iOS-enheder mere end Android smartphones. Årsagen er, at Apple kan lide at kalibrere iPhone og iPad sensorer på sin fabrik linje, en proces, som kun et par Android leverandører bruger til at forbedre nøjagtigheden af deres smartphones’ sensorer.
Hvordan virker denne teknik arbejde?
“Vores tilgang virker ved omhyggeligt at analysere data fra sensorer, der er tilgængelig uden særlige tilladelser til både websites og apps,” forskerholdet sagde i en videnskabelig artikel offentliggjort i går.
“Vores analyse udledt, per-enhed fabrikskalibrering data, som producenter integrere i firmwaren på din smartphone for at kompensere for en systematisk fremstilling fejl [i deres enheder’ sensorer],” siger forskerne.
Denne kalibrering data kan derefter bruges som et fingeraftryk, der producerer en unik identifikator, som reklame eller analytics virksomheder kan bruge til at spore en bruger, som de navigerer på tværs af internettet.
Endvidere, fordi kalibrering af sensor fingeraftryk er den samme, når der er udvundet ved hjælp af en app eller via en hjemmeside, denne teknik kan også bruges til at spore brugere, da de kan skifte mellem browsere og tredjeparts-apps, så analytics virksomheder for at få et fuldt billede af, hvad brugerne laver på deres enheder.
Hertil kommer, at teknikken også giver ikke anledning til nogen tekniske vanskeligheder for den virksomhed, der gør alle de tracking.
“Udvinding af kalibreringsdata typisk tager mindre end et sekund, og ikke afhænge af den position eller orientering af enheden,” siger forskerne.
“Vi har også prøvet at måle sensor data på forskellige steder og under forskellige temperaturer; vi kan bekræfte, at disse faktorer ikke ændrer SensorID enten,” tilføjer de.
Den sensor kalibrering fingeraftryk også ændrer sig aldrig, selv efter en factory reset, så sporing af enheder adgang til en identifikationskode, som er unik og vedvarende som et IMEI-kode.
Yderligere, er denne type sporing er også tavs og usynlig for brugerne. Dette er fordi, apps, websteder eller få adgang til sensor kalibrering oplysninger til at beregne en enhed, der er fingeraftryk ikke behøver nogen speciel tilladelse for at gøre det.
Lappet i iOS, men ikke Android
Den tre-personers forskning team, der har opdaget denne nye tracking-vektor sagde, at de anmeldte både Apple og Google i August 2018, og December 2018, henholdsvis
Apple lappet dette problem (CVE-2019-8541) med udgivelsen af iOS 12.2 i Marts dette år ved at tilføje tilfældige støj til sensor kalibrering output. Det betyder, at fra og med iOS 12.2, iPhones og iPads vil generere et nyt fingeraftryk med hver sensor kalibrering forespørgsel, hvilket gør denne type af bruger sporing ubrugelig.
Endvidere, for at fjerne eventuelle andre potentielle hovedpine, Apple også fjernet websites evne til at få adgang til motion sensor data fra Mobile Safari.
Men mens Apple var hurtig til at løse dette problem, Google var der ikke, og kun fortalte forskere at de ville undersøge.
Dette er mest sandsynligt, fordi iOS-enheder er mere udsatte for denne type sporing end Android smartphones, hvor en stor del af det økosystem består af low-cost enheder, der bruger ukalibrerede bevægelsessensorer.
Ifølge forskerholdet, tracking metode, de opdagede, var, ja, faktisk er mere farligt at Apple-enheder, primært på grund af enhed homogenitet og Apple ‘ s tendens til at skibet højere kvalitet for telefoner med meget præcise (kalibreret) bevægelsessensorer.
Der er dog lignende top-range Android smartphones var også sårbare. I løbet af deres forsøg, forskerne sagde, at deres teknik har genereret sensor kalibrering fingeraftryk for Pixel 2 og Pixel 3 enheder.
Flere detaljer om denne forskning er tilgængelige i et white paper med titlen “SensorID: Sensor Kalibrering Fingeraftryk til Smartphones,” der blev præsenteret i går på IEEE Symposium om Sikkerhed og Privatlivets fred 2019 (IEEE S&P 19).
En demo-side, hvor brugerne kan se, hvis deres enhed er sårbar, og generere en sensor kalibrering af fingeraftryk, er også tilgængelige.
Mere sårbarhed rapporter:
Windows 10 zero-day exploit kode frigivet onlineGoogle til at erstatte defekte Titan security keys
En stor luns af Ethereum kunder forbliver unpatchedIntel Cpu ‘ er, der påvirkes af nye Zombieload side-kanal attackPatch status for det nye MDS-angreb mod Intel CPUsRoot konto forkerte konfigurationer, der er fundet i 20% af top 1.000 Docker containersKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre