Smartfon sensorlari foydalanuvchilarni onlayn kuzatishga imkon beradi.
SensorID hujumini amalga oshirish uchun akselerometr, giroskop va magnetometr kalibrlash ma’lumotlari ishlatiladi.
Kembrij universiteti (Buyuk Britaniya) mutaxassislari Android va iOS qurilma foydalanuvchilarining onlayn faoliyatini kuzatishning yangi usulini taqdim etdilar. Ushbu texnika «Kalibratsiya yordamida raqamli barmoq izi» yoki qisqacha SensorID deb ataladi va u qurilma sensorlari uchun zavod kalibratsiya ma’lumotlaridan foydalanishga asoslangan bo’lib, ilova yoki veb-sayt ularga ruxsatsiz kirish huquqiga ega. SensorID hujumini amalga oshirish uchun giroskop va magnetometr (iOS qurilmalarida) hamda akselerometr, giroskop va magnetometr (Android qurilmalarida) kalibrlash ma’lumotlaridan foydalaniladi. SensorID mualliflariga ko’ra, Apple qurilmalari Android asosidagi gadjetlarga qaraganda hujumga ko’proq moyil. Buning sababi shundaki, Apple ishlab chiqarish jarayonida barcha sensorlarni aniq kalibrlaydi, Android qurilma ishlab chiqaruvchilari esa har doim buni bajarmaydi.
Hujum hech qanday ruxsatlarsiz mavjud bo’lgan sensor ma’lumotlarining puxta tahliliga asoslangan. «Bizning tahlilimiz har bir qurilma uchun fabrik kalibrlash ma’lumotlarini olishga imkon beradi, ishlab chiqaruvchilar esa sensorlardagi tizimli ishlab chiqarish xatolarini kompensatsiya qilish uchun bu ma’lumotlarni smartfonning firmware’iga joylaydi», deydi SensorID mualliflari.
Ushbu kalibrlash ma’lumotlari barmoq izlari – noyob identifikatorlar sifatida ishlatilishi mumkin, ular tahliliy kompaniyalarga va kiberjinoyatchilarga foydalanuvchilarning onlayn faoliyatini kuzatish imkonini beradi. Ma’lumotlarni yig’ish qurilmaning ishlashiga hech qanday ta’sir ko’rsatmaydi va qurbon buning haqida umuman bexabar bo’ladi.
Tadqiqotchilarga ko’ra, kalibrlash ma’lumotlarini olish bir soniyani oladi va qurilmaning joylashuvi yoki atrof-muhit sharoitlari ahamiyatsizdir. Kalibrlash ma’lumotlari o’zgarmas bo’lgani uchun, qurilma sozlamalari qayta tiklangandan keyin ham foydalanuvchining internetdagi faoliyatini kuzatish imkoni mavjud.
Bu zaiflik (CVE-2019-8541) Apple tomonidan bu yil mart oyida iOS 12.2 chiqarilishi bilan sensor kalibrlash chiqish ma’lumotlariga ixtiyoriy shovqin qo’shish orqali tuzatildi. Google esa hali hech qanday tuzatishni chiqarmadi va muammoni o’rganish niyatida ekanini bildirdi.
