Los criminales han ideado una nueva táctica de malware que se conoce como el ataque SensorID y es capaz de superar la seguridad de los dispositivos Android y iOS. Está diseñado para realizar un seguimiento de los usuarios al abusar de los sensores de estos dispositivos. Las implicaciones de esta vulnerabilidad son muy graves ya que esto permite a los piratas informáticos penetren fácilmente estos dispositivos. Se rastreó en el aviso CVE-2019 a 8541.
CVE-2019-8541: El Ataque SensorID se utiliza para Spy Android y iOS dispositivos
Los investigadores de seguridad han descubierto una nueva técnica novedosa ataque de malware que se basa en la adquisición de datos de los sensores de los hackers desde dispositivos víctima - como resulta esto incluye tanto los propietarios de Android y iOS. Se llama SensorsID y puede ser usado para rastrear los propietarios a través de Internet. Esto es causado por una debilidad en los detalles de calibración establecidas en fábrica - se puede acceder libremente por las aplicaciones sin pedir permisos específicos. Se describe como la recolección de datos a partir de los siguientes componentes:
- Giroscopio
- Magnetómetro
- acelerómetro
El ataque SensorID se lleva a cabo mediante el análisis de los datos que se puede acceder tanto por los sitios web y aplicaciones. Esto significa que los hackers pueden crear fácilmente este tipo de elementos de captura de datos con el fin de realizar un seguimiento de los usuarios a través de Internet. Una vez que adquieren una firma única que se puede utilizar para las huellas digitales del dispositivo víctima que es válida en toda la Internet. Lo que es más preocupante de este ataque en particular es que se dispositivos iOS impactos más que Android. La razón de esto es que por defecto los sensores se calibran en la línea de montaje en la que la mayoría de los dispositivos Android calibrar a sí mismos en ciertos eventos, tales como la configuración inicial y etc.. La razón por la que este ataque se considera tan peligroso es que cada conjunto de huellas dactilares extraídas puede ser utilizado como un identificador único. Esta huella digital de calibración del sensor nunca va a cambiar, incluso al realizar una restauración de fábrica.
Manzana publicado una revisión para iOS que se ha corregido el problema en marzo de abordar la cuestión. La solución fue añadir ruido aleatorio en la salida de calibración. La vulnerabilidad asociada se hace un seguimiento en CVE-2019-8541 que describe el abuso de esta técnica en los navegadores web. Su descripción se lee la siguiente:
Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de scripting Chakra trata los objetos en memoria en Microsoft Edge, aka “Vulnerabilidad de secuencias de comandos del motor Chakra daños en la memoria.” Esto afecta a Microsoft Edge, ChakraCore
El informe de seguridad completa se puede acceder aquí. usuarios preocupados pueden ver si su dispositivo se ve afectada por la navegación a esta página de demostración.