安全動(dòng)態(tài)

一指紋識(shí)別技術(shù)漏洞曝光:可跟蹤 Android 和 iOS 設(shè)備

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-05-25    瀏覽次數(shù):
 

信息來源:新浪科技

新浪科技訊 北京時(shí)間5月23日早間消息,據(jù)美國科技媒體ZDNet報(bào)道,一項(xiàng)新的設(shè)備指紋識(shí)別技術(shù)可以使用出廠時(shí)設(shè)置的詳細(xì)傳感器校準(zhǔn)信息,跟蹤互聯(lián)網(wǎng)上的Android和iOS設(shè)備,任何應(yīng)用或網(wǎng)站都可以在沒有特殊權(quán)限的情況下獲取這些信息。

這種新技術(shù)稱為校準(zhǔn)指紋識(shí)別攻擊或SensorID,它通過使用iOS上的陀螺儀和磁力計(jì)傳感器的校準(zhǔn)細(xì)節(jié)來實(shí)現(xiàn);也可以使用Android設(shè)備上的加速度計(jì)、陀螺儀和磁力計(jì)傳感器的校準(zhǔn)細(xì)節(jié)。

根據(jù)英國劍橋大學(xué)的一個(gè)學(xué)術(shù)團(tuán)隊(duì)的說法,SensorID對(duì)iOS設(shè)備的影響大于對(duì)Android設(shè)備的影響。原因是蘋果喜歡在其工廠生產(chǎn)線上校準(zhǔn)iPhone和iPad傳感器,但卻只有少數(shù)Android供應(yīng)商通過這一過程來提高智能手機(jī)傳感器的準(zhǔn)確性。

研究小組在昨天發(fā)表的一份研究報(bào)告中說:“我們的方法是通過仔細(xì)分析來自傳感器的數(shù)據(jù),這無需對(duì)網(wǎng)站和應(yīng)用程序提供任何特殊許可即可訪問?!?

“我們的分析推斷出制造商嵌入到智能手機(jī)固件中的每個(gè)設(shè)備的工廠校準(zhǔn)數(shù)據(jù),他們通過這種方法來補(bǔ)償系統(tǒng)制造失誤?!毖芯咳藛T說。

然后,該校準(zhǔn)數(shù)據(jù)可以當(dāng)做指紋,產(chǎn)生唯一標(biāo)識(shí)符,廣告或分析公司可以使用該標(biāo)識(shí)符來跟蹤用戶的上網(wǎng)情況。

此外,由于校準(zhǔn)傳感器指紋在使用應(yīng)用程序或網(wǎng)站提取時(shí)都是相同的,因此該技術(shù)還可用于跟蹤用戶在瀏覽器和第三方應(yīng)用程序之間的切換,允許分析公司全面了解用戶的設(shè)備使用情況。

“提取校準(zhǔn)數(shù)據(jù)通常需要不到一秒的時(shí)間,并且不依賴于設(shè)備的位置或方向。”研究人員說,“我們還嘗試在不同位置和不同溫度下測(cè)量傳感器數(shù)據(jù),我們確認(rèn)這些因素也不會(huì)改變SensorID。”

即使在重置出廠設(shè)置之后,傳感器校準(zhǔn)指紋也永遠(yuǎn)不會(huì)改變,從而允許跟蹤實(shí)體把訪問標(biāo)識(shí)符作為不變的唯一IMEI碼。

此外,由于無需獲取特殊權(quán)限,因此用戶無法察覺這種類型的跟蹤。

發(fā)現(xiàn)這種新跟蹤載體的三人研究小組表示,他們分別于2018年8月和2018年12月通知了蘋果和谷歌。

蘋果在今年3月發(fā)布iOS 12.2修補(bǔ)了這個(gè)問題。但谷歌只告訴研究人員他們會(huì)展開調(diào)查。之所以出現(xiàn)這種情況,很可能是因?yàn)閕OS設(shè)備比Android智能手機(jī)更容易受到這種類型的跟蹤。

 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2019-05-10

下一篇:2019年05月25日 聚銘安全速遞