Изследователи от компютърната лаборатория на университета Кеймбридж разкриха уязвимост в смартфоните от висок клас, която позволява следене на потребителите в интернет, стана ясно на форума „IEEE Symposium on Security and Privacy”.
Откритата уязвимост не може да се изключи без прякото участие на Apple и Google и е налична във всички модели iPhone, както и в няколко модела смартфони под управление на Android като Pixel 2 и 3, съобщи Forbes.
Изследователите информирали Apple за проблема още през август миналата година, а по-късно – през декември – съобщили и на Google. Уязвимостта е наречена SensorID и се обозначава официално като CVE-2019-8541.
През март т.г. Apple пусна кръпка за iOS 12.2, която отстрани уязвимостта. За Android устройствата все още няма актуализация, свързана с този проблем. Това е обяснимо, тъй като SensorID засяга само няколко модела Android смартфони, докато всеки iPhone е уязвим.
Името на уязвимостта, SensorID, говори достатъчно за нейната същност – това е уникален идентификатор, свързан с датчиците (сензорите), или цифров подпис на устройството, който в повечето случаи съответства на определен смартфон и следователно почти винаги принадлежи на конкретен човек.
[related-posts]
С усилията на изследователите по сигурността този подпис е разпознат като набор от данни за калибриране на сензорите на магнитометъра, акселерометъра и жироскопа.
Данните за калибрирането се вписват във фърмуера на устройството още при производството в завода и позволяват да бъде подобрена работата на смартфона с датчиците – например, увеличаване на точността на позициониране и реакцията на движение.
При преглеждане на страници в интернет от всеки браузър или при пускане на приложения, смартфонът в ръката на потребителя рядко остава неподвижен. Сайтовете свободно прочитат данните за калибрирането, за да се нагодят към смартфона, като това става почти мигновено.
След това идентификаторът може да се използва за проследяване на същия потребител в други сайтове – какви страници посещава, от какво се интересува. Определено този метод е много подходящ за използване в таргетираната реклама.
Също така обаче, чрез прости действия, идентификаторът може да бъде свързан с конкретен човек с всички произтичащи от това последствия, отбелязват изследователите.
Тоталната уязвимост на смартфоните на Apple към SensorID атаки се обяснява с това, че практически всички iPhone модели се отнасят към устройствата от премиум клас, в производството на които влиза фабрично калибриране на датчиците с достатъчно високо качество.
В случая тази прецизност на компанията от Купертино е изиграла лоша шега – дори нулирането на фабричните настройки не изтрива цифровия подпис SensorID, наличието на който позволява проследяване.
Съвсем друга е ситуацията при смартфоните под управление на Android. В общия случай това са нескъпи устройства, производителите на които рядко извършват фабрично калибриране.
В резултат на това повечето Android смартфони, с изключение на някои устройства от премиум клас, нямат подобен цифров подпис, който позволява извършване на SensorID атаки.
3 коментара
До колкото се разбира, още един начи сайтовете да идентифицират конкретен потребител…? Голям праз, то щото до сега хич не можиеха…
А защо, GDPR не се задейства в този случай?
Тоест Apple са оправили проблема, Google не са.