一指纹识别技术漏洞曝光:可跟踪Android和iOS设备

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/24 09:32:10 140次阅读 国际
文章来源:https://www.anquanke.com/post/id/179149
? ? ? ?ef60181a25490b1490838c1fb6b621bf.png?
转自新浪科技? ? ? ??
????????新浪科技讯 北京时间5月23日早间消息,据美国科技媒体ZDNet报道,一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息,跟踪互联网上的Android和iOS设备,任何应用或网站都可以在没有特殊权限的情况下获取这些信息。

????????这种新技术称为校准指纹识别攻击或SensorID,它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现;也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。

????????根据英国剑桥大学的一个学术团队的说法,SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器,但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。

????????研究小组在昨天发表的一份研究报告中说:“我们的方法是通过仔细分析来自传感器的数据,这无需对网站和应用程序提供任何特殊许可即可访问。”

????????“我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据,他们通过这种方法来补偿系统制造失误。”研究人员说。

????????然后,该校准数据可以当做指纹,产生唯一标识符,广告或分析公司可以使用该标识符来跟踪用户的上网情况。

????????此外,由于校准传感器指纹在使用应用程序或网站提取时都是相同的,因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换,允许分析公司全面了解用户的设备使用情况。

????????“提取校准数据通常需要不到一秒的时间,并且不依赖于设备的位置或方向。”研究人员说,“我们还尝试在不同位置和不同温度下测量传感器数据,我们确认这些因素也不会改变SensorID。”

????????即使在重置出厂设置之后,传感器校准指纹也永远不会改变,从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。

????????此外,由于无需获取特殊权限,因此用户无法察觉这种类型的跟踪。

????????发现这种新跟踪载体的三人研究小组表示,他们分别于2018年8月和2018年12月通知了苹果和谷歌

????????苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况,很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。(书聿)

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室