Новости Hardware

Все iPhone и некоторые смартфоны на Android оказались уязвимы для атаки по датчикам

На днях на симпозиуме IEEE Symposium on Security and Privacy группа исследователей из Компьютерной лаборатории Кембриджского университета рассказала о новой уязвимости смартфонов, которая позволяла и позволяет следить за пользователями в Интернете. Обнаруженная уязвимость оказалась неотключаемой без прямого вмешательства компаний Apple и Google и была обнаружена во всех моделях iPhone и лишь в нескольких моделях смартфонов под управлением Android. Например, она найдена в моделях Google Pixel 2 и 3.

Об обнаружении уязвимости специалисты доложили компании Apple в августе прошлого года, а компания Google была уведомлена в декабре. Уязвимость получила название SensorID и официальное обозначение CVE-2019-8541. Компания Apple в марте с выпуском заплатки для iOS 12.2 устранила выявленную опасность. Что касается Google, то она пока никак не отреагировала на выявленную угрозу. Впрочем, ещё раз повторим, если атака SensorID легко проводилась на практически все модели смартфонов компании Apple, то уязвимых для неё смартфонов под управлением Android обнаружено очень мало.

Что же такое SensorID? Из названия легко понять, что SensorID ― это уникальный идентификатор по датчикам. Своего рода цифровая подпись устройства, которая в большинстве случаев соответствует определённому смартфону и, следовательно, почти всегда принадлежит конкретному человеку.

Стараниями исследователей по безопасности такой подписью стал набор данных о калибровке датчиков магнитометра, акселерометра и гироскопа (по понятным причинам, производство датчиков сопровождается разбросом параметров). Данные о калибровке прописываются в прошивке устройства на заводе, и позволяют улучшить работу смартфонов с датчиками ― увеличивают точность позиционирования и реакции смартфона на движения. При просмотре странички в Интернете с помощью любого браузера или при запуске приложения смартфон в руках редко остаётся неподвижным. Сайты свободно считывают данные о калибровке, чтобы подстроиться под смартфон и это происходит почти мгновенно. Затем этот идентификатор можно использовать для отслеживания уже определённого пользователя на других сайтах. Куда ходит, чем интересуется. Определённо, этот метод хорошо использовать для таргетированной рекламы. Также путём нехитрых действий такой идентификатор можно привязать к личности со всеми вытекающими последствиями.

Тотальная уязвимость смартфонов Apple к атаке SensorID объясняется тем, что практически все iPhone можно отнести к устройствам премиального класса, изготовление которых, включая заводскую калибровку датчиков, довольно высокого качества. В данном случае эта скрупулёзность подвела компанию. Даже сброс до заводских установок не стирает цифровую подпись SensorID. Другое дело смартфоны под управлением Android. В массе это недорогие устройства, заводская настройка которых редко сопровождается калибровкой датчиков. Как результат, большинство смартфонов с Android не имеют условной цифровой подписи для проведения атаки SensorID, хотя премиальные аппараты гарантированно собираются с должным качеством и могут быть атакованы по данным калибровки.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
NASA отправит на МКС космический туалет стоимостью 23 миллиона долларов США 25 мин.
Смартфон OPPO A33 получил 90-Гц экран, тройную камеру и процессор Snapdragon 460 при цене $155 3 ч.
MSI доработала подсистему питания GeForce RTX 3080 Gaming X Trio для повышения стабильности на высоких частотах GPU 3 ч.
Партнёры Apple потратят $900 миллионов на развитие производства в Индии в ближайшие пять лет 4 ч.
Lenovo готовит бюджетный смартфон с большой батареей и Android 10 6 ч.
Флагманские смартфоны Samsung следующего года получат 65-Вт быструю зарядку 6 ч.
Макет исследовательской станции «Луна-25» прошёл тепловакуумные испытания 6 ч.
Hyundai показала спортивный концепт-карт RM20e с электродвигателем мощностью 810 л. с. 6 ч.
Компактный компьютер Chuwi CoreBox Pro на процессоре Intel Ice Lake заключён в двухлитровый корпус 6 ч.
Тонкие ноутбуки Dell XPS 13 теперь доступны с процессорами Intel Tiger Lake. Цена начинается с $1000 6 ч.