Обнаружена уязвимость: веб-сайты и приложения могут снимать цифровой отпечаток устройств через данные калибровки



    22 мая специалисты Кембриджского университета сообщили о новой разновидности кибератаки, которая может быть применена к большинству мобильных устройств Apple и некоторым моделям смартфонов Google. Уязвимость заключается в том, что система автоматически передает вебсайтам и приложениям данные с датчиков движения. Этого объема информации достаточно, чтобы создать уникальный идентификатор устройства и отслеживать действия его владельца в Сети.

    Снятие цифровых отпечатков – стандартная практика, которую применяют как веб-аналитики, чтобы точнее таргетировать клиентов, так и мошенники. Наибольшая опасность кроется в тех методах, которые позволяют собирать данные о стабильных характеристиках устройства незаметно от пользователя.

    Атака SensorID, которую исследователи успешно провели в рамках эксперимента, использует информацию о заводской калибровке датчиков телефона. В iOS-устройствах данные собираются с гироскопа и магнитометра, в Android-устройствах – с гироскопа, магнитометра и акселерометра. Совокупность этих сведений составляет уникальный отпечаток устройства, с помощью которого лица, проводящие атаку, могут получать информацию о дальнейших перемещениях пользователя в онлайн-среде и в библиотеке приложений. Процесс передачи данных занимает меньше секунды.


    Пользователь никак не может защитить себя от атаки: сайту не нужно отсылать запрос на получение информации о калибровке, изменить же отпечаток невозможно даже путем сброса настроек. Использование защищенных браузеров (Brave, Firefox Focus) с переходом в режим защиты от снятия отпечатков также не оказало должного эффекта. По словам авторов исследования, безопасность пользователя зависит исключительно от того, встроены ли заводские настройки в прошивку. Для телефонов Apple ответ всегда утвердительный, однако многие моделей Android находятся вне группы риска. Пока точно установлено, что угроза актуальна для смартфонов Google Pixel 2 и Pixel 3.

    Исследователи передали информацию об уязвимости компании Apple в марте, задолго до публикации результатов исследования, поэтому прошивку 12.2 уже защищена от атаки SensorID. Решением стало введение произвольных шумов в данные с аналого-цифрового преобразователя и ограничение доступа к данным датчиков для браузера Mobile Safari. Компания Google также в курсе ситуации, однако пока не предприняла шагов по устранению уязвимости, заявив, что намерена собрать дополнительную информацию.
    Поделиться публикацией

    Комментарии 6

      0
      Интересно, а для старых андроидов (4.4, 5.0 и т.д.) эта атака акутальна?
        +7

        А зачем сайтам вообще давать доступ ко всем эти датчикам, тем более без явного запроса? На ум прихрдят только какие-то игры в браузере, но это так редко встречается, что запрос от обычного сайта на доступ к акселерометру сразу должен насторожить.

          0

          У меня доступ к сенсорам заблокирован для всех приложений, кроме тех кому Правда Очень Нужно. Уязвимость эта высосана из пальца.

          0
          Уже третий раз на моей памяти «исследователи» обнаруживают «абсолютно новую кибератаку» и поднимают вой. В прошлый раз, надо сказать, было интереснее, использовался анализ уникальных для устройства шумов датчиков, здесь же какой-то дилетантизм.
            +1

            Интересно, как скоро все признают, что основное назначение смартфона — шпионить за владельцем, и начнут не продавать нам телефоны, а приплачивать за их использование? :)

              0
              До тех пор, пока будут люди, которые согласны платить деньги за смартфон — до тех пор их и будут продавать.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое