SensorID: Android e Apple vulnerabili ad un nuovo attacco

Silvia
23 Mag 2019

SensorID: Android e iOS sono soggetti ad una vulnerabilità senza precedenti, gli studiosi dell’Università di Cambridge allertano gli utenti e mostrano come sia semplice intercettare un dispositivo provvisto di questi sistemi operativi.

SensorID vulnerabilità Android Apple

Un dispositivo quando visita un sito web o accede ad un’applicazione lascia dei dati che vengono raccolti ed elaborati dai server che li ospita, questi dati vengono utilizzati per migliorare l’esperienza dell’utente o per prevenire furti d’identità.

SensorID: Nuova minaccia per Android e iOS

La versione del browser e il luogo dal quale si connette sono informazioni basilari che vengono raccolte ogni giorno ma in base alle richieste che vengono sottoposte al dispositivo, lo stesso può rispondere con altri dati che potrebbero compromettere la sicurezza dell’intero sistema.

Attraverso l’accesso ad un sito web creato appositamente per intercettare un dispositivo, il browser può risolvere richieste fornendo informazioni che rendono uno smartphone “univoco” nel web.

Nello specifico, i ricercatori fanno riferimento ai dati raccolti dalle applicazioni come accelerometro, giroscopio e magnetometro che forniscono dati che possono costruire un’impronta digitale del dispositivo, da qui il nome SensorID.

Abbiamo sviluppato un nuovo tipo di attacco delle impronte digitali, l’ attacco delle impronte digitali di calibrazione . Il nostro attacco utilizza i dati raccolti dai sensori accelerometro, giroscopio e magnetometro trovati nelle smartphone costruire un’impronta digitale univoco globale

L’attacco richiede meno di un secondo per generare un’impronta digitale, anche dopo un ripristino di fabbrica si creano le stesse condizioni che generano la stessa SensorID permettendo a malintenzionati di rintracciare il dispositivo ovunque si trovi e non solo.

Che cosa è il SensorID?

Definiamo la SensorID come una combinazione di distintive impronte di calibrazione del sensore. Nel caso di dispositivi IOS, il SensorID comprende sia l’impronta digitale di calibrazione del giroscopio (gyroid) e del magnetometro (Magid). Nel caso di Google Pixel 2 e 3, il SensorID comprende l’impronta digitale di calibrazione dell’accelerometro (AccelID).

Questa tecnica potrebbe svelare tutti i dati contenuti nello smartphone, codice IMEI, applicazioni installate, siti web visitati, acquisti effettuati in rete e l’esatta posizione geografica.

Apple e Google sono state messe a conoscenza di questa vulnerabilità e con la versione iOS 12.2 è stata messa una patch ai dispositivi della mela mentre si aspetta ancora l’aggiornamento di sicurezza per gli utenti Android.

La relazione completa con i video dimostrativi sono disponibili sul sito ufficiale che si trova cliccando qui.


Lascia la tua opinione