一指紋識別技術漏洞曝光:可跟踪Android和iOS設備
據美國科技媒體ZDNet報導,一項新的設備指紋識別技術可以使用出廠時設置的詳細傳感器校准信息,跟踪互聯網上的Android和iOS設備,任何應用或網站都可以在沒有特殊權限的情況下獲取這些信息。這種新技術稱為校準指紋識別攻擊或SensorID,它通過使用iOS上的陀螺儀和磁力計傳感器的校準細節來實現;也可以使用Android設備上的加速度計、陀螺儀和磁力計傳感器的校準細節。
(題圖via ZDNet)
根據英國劍橋大學的一個學術團隊的說法,SensorID對iOS設備的影響大於對Android設備的影響。原因是蘋果喜歡在其工廠生產線上校準iPhone和iPad傳感器,但卻只有少數Android供應商通過這一過程來提高智能手機傳感器的準確性。
研究小組在昨天發表的一份研究報告中說:“我們的方法是通過仔細分析來自傳感器的數據,這無需對網站和應用程序提供任何特殊許可即可訪問。”
“我們的分析推斷出製造商嵌入到智能手機固件中的每個設備的工廠校準數據,他們通過這種方法來補償系統製造失誤。”研究人員說。
然後,該校準數據可以當做指紋,產生唯一標識符,廣告或分析公司可以使用該標識符來跟踪用戶的上網情況。
此外,由於校準傳感器指紋在使用應用程序或網站提取時都是相同的,因此該技術還可用於跟踪用戶在瀏覽器和第三方應用程序之間的切換,允許分析公司全面了解用戶的設備使用情況。
“提取校準數據通常需要不到一秒的時間,並且不依賴於設備的位置或方向。”研究人員說,“我們還嘗試在不同位置和不同溫度下測量傳感器數據,我們確認這些因素也不會改變SensorID。”
即使在重置出廠設置之後,傳感器校準指紋也永遠不會改變,從而允許跟踪實體把訪問標識符作為不變的唯一IMEI碼。
此外,由於無需獲取特殊權限,因此用戶無法察覺這種類型的跟踪。
發現這種新跟踪載體的三人研究小組表示,他們分別於2018年8月和2018年12月通知了蘋果和谷歌。
蘋果在今年3月發布iOS 12.2修補了這個問題。但谷歌只告訴研究人員他們會展開調查。之所以出現這種情況,很可能是因為iOS設備比Android智能手機更容易受到這種類型的跟踪。