23/05/19
Специалисты Кембриджского университета (Великобритания) представили новый метод отслеживания активности пользователей Android- и iOS-устройств в интернете. Техника получила название «Снятие цифровых отпечатков с помощью калибровки» или попросту SensorID и основывается на использовании данных заводской калибровки датчиков устройства, доступ к которым приложение или сайт может получить без разрешения.
Для осуществления атаки SensorID используются данные калибровки гироскопа и магнитометра (iOS-устройства), а также акселерометра, гироскопа и магнитометра (Android-устройства). По словам авторов SensorID, устройства от Apple более уязвимы к атаке, чем гаджеты под управлением Android. Это связано с тем, что в процессе производства устройств «яблочная» компания проводит точную калибровку всех датчиков, а производители Android-устройств делают это далеко не всегда.
Атака базируется на тщательном анализе данных датчиков, доступных без каких-либо разрешений. «Наш анализ позволяет получить заводские данные калибровки для каждого устройства, которые производители встраивают в прошивку смартфона для компенсации систематических производственных ошибок (в датчиках – ред.)», – сообщили авторы SensorID.
Данные калибровки могут использоваться как отпечатки – уникальные идентификаторы, позволяющие аналитическим компаниям и киберпреступникам отслеживать активность пользователей в интернете. Сбор данных никак не сказывается на работе устройства, и жертва даже не подозревает о нем.
По словам исследователей, получение данных калибровки занимает одну секунду, а положение устройства или условия окружающей среды при этом не имеют никакого значения. Поскольку данные калибровки являются неизменными, то позволяют отслеживать активность пользователя в интернете даже после сброса настроек устройства.
Уязвимость (CVE-2019-8541) была исправлена Apple в марте нынешнего года с выходом iOS 12.2 путем добавления произвольных шумов в выходные данные калибровки датчиков. Google пока не выпустила никаких исправлений, заявив о намерении изучить проблему.
