22 мая специалисты Кембриджского университета сообщили о новой разновидности кибератаки, которая может быть применена к большинству мобильных устройств Apple и некоторым моделям смартфонов Google. Уязвимость заключается в том, что система автоматически передает вебсайтам и приложениям данные с датчиков движения. Этого объема информации достаточно, чтобы создать уникальный идентификатор устройства и отслеживать действия его владельца в Сети.
Снятие цифровых отпечатков – стандартная практика, которую применяют как веб-аналитики, чтобы точнее таргетировать клиентов, так и мошенники. Наибольшая опасность кроется в тех методах, которые позволяют собирать данные о стабильных характеристиках устройства незаметно от пользователя.
Атака SensorID, которую исследователи успешно провели в рамках эксперимента, использует информацию о заводской калибровке датчиков телефона. В iOS-устройствах данные собираются с гироскопа и магнитометра, в Android-устройствах – с гироскопа, магнитометра и акселерометра. Совокупность этих сведений составляет уникальный отпечаток устройства, с помощью которого лица, проводящие атаку, могут получать информацию о дальнейших перемещениях пользователя в онлайн-среде и в библиотеке приложений. Процесс передачи данных занимает меньше секунды.
Пользователь никак не может защитить себя от атаки: сайту не нужно отсылать запрос на получение информации о калибровке, изменить же отпечаток невозможно даже путем сброса настроек. Использование защищенных браузеров (Brave, Firefox Focus) с переходом в режим защиты от снятия отпечатков также не оказало должного эффекта. По словам авторов исследования, безопасность пользователя зависит исключительно от того, встроены ли заводские настройки в прошивку. Для телефонов Apple ответ всегда утвердительный, однако многие моделей Android находятся вне группы риска. Пока точно установлено, что угроза актуальна для смартфонов Google Pixel 2 и Pixel 3.
Исследователи передали информацию об уязвимости компании Apple в марте, задолго до публикации результатов исследования, поэтому прошивку 12.2 уже защищена от атаки SensorID. Решением стало введение произвольных шумов в данные с аналого-цифрового преобразователя и ограничение доступа к данным датчиков для браузера Mobile Safari. Компания Google также в курсе ситуации, однако пока не предприняла шагов по устранению уязвимости, заявив, что намерена собрать дополнительную информацию.
Комментарии (6)
tmin10
24.05.2019 20:47+7А зачем сайтам вообще давать доступ ко всем эти датчикам, тем более без явного запроса? На ум прихрдят только какие-то игры в браузере, но это так редко встречается, что запрос от обычного сайта на доступ к акселерометру сразу должен насторожить.
konchok
25.05.2019 17:24У меня доступ к сенсорам заблокирован для всех приложений, кроме тех кому Правда Очень Нужно. Уязвимость эта высосана из пальца.
kzhyg
25.05.2019 03:15Уже третий раз на моей памяти «исследователи» обнаруживают «абсолютно новую кибератаку» и поднимают вой. В прошлый раз, надо сказать, было интереснее, использовался анализ уникальных для устройства шумов датчиков, здесь же какой-то дилетантизм.
powerman
25.05.2019 04:42+1Интересно, как скоро все признают, что основное назначение смартфона — шпионить за владельцем, и начнут не продавать нам телефоны, а приплачивать за их использование? :)
AC130
25.05.2019 11:45До тех пор, пока будут люди, которые согласны платить деньги за смартфон — до тех пор их и будут продавать.
glestwid
Интересно, а для старых андроидов (4.4, 5.0 и т.д.) эта атака акутальна?