Les criminels ont mis au point une nouvelle tactique des logiciels malveillants qui est connu comme l'attaque SensorID et il est capable de surmonter la sécurité des appareils Android et iOS. Il est conçu pour suivre les utilisateurs en abusant des capteurs de ces appareils. Les implications de cette vulnérabilité sont très graves, car cela permet aux pirates de pénétrer facilement ces dispositifs. Il est suivi dans l'avis CVE-2019-8541.
CVE-2019-8541: Le SensorID attaque est utilisé pour Spy Devices Android et iOS
Les chercheurs en sécurité ont découvert une nouvelle nouvelle technique d'attaque des logiciels malveillants qui repose sur l'acquisition de données de capteurs par des pirates de dispositifs d'aide aux victimes - il se trouve cela inclut les propriétaires Android et iOS. Elle est appelée SensorsID et il peut être utilisé pour suivre les propriétaires sur Internet. Ceci est dû à un faiblesse dans les détails d'étalonnage réglés en usine - ils peuvent être librement accessibles par les applications sans demander des autorisations spécifiques. Il est décrit comme la récolte des données à partir des composants suivants:
- Gyroscope
- magnétomètre
- accéléromètre
L'attaque SensorID est effectuée en analysant les données qui sont accessibles à la fois par les sites Web et applications. Cela signifie que les pirates peuvent facilement créer de tels éléments de capture de données afin de suivre les utilisateurs sur Internet. Une fois qu'ils acquièrent une signature unique, il peut être utilisé pour les empreintes digitales de l'appareil de la victime qui est valable sur l'ensemble Internet. Ce qui est plus inquiétant au sujet de cette attaque est que impacts appareils iOS plus que les applications. La raison est que par défaut, les capteurs sont calibrés sur la ligne d'assemblage dans laquelle la plupart des appareils Android se calibrent sur certains événements tels que la configuration initiale et etc. La raison pour laquelle cette attaque est jugée si dangereuse est que chaque série d'empreintes digitales extraites peut être utilisé comme identifiant unique. Cette empreinte d'étalonnage du capteur ne changera jamais même lors de la réinitialisation d'usine.
Pomme publié un correctif pour iOS qui a corrigé le problème en Mars aborder la question. La solution a été d'ajouter un bruit aléatoire dans la sortie d'étalonnage. La vulnérabilité associée est suivi dans CVE-2019-8541 qui décrit l'abus de cette technique dans les navigateurs web. Sa description se lit comme suit:
Une vulnérabilité d'exécution de code à distance existe dans la manière que le moteur de script Chakra traite les objets en mémoire dans Microsoft bord, alias “Chakra le moteur de script mémoire vulnérabilité corruption.” Cela affecte Edge Microsoft, ChakraCore
La le rapport complet de sécurité peut être consulté ici. Les utilisateurs peuvent voir si inquiètes de leur appareil est affecté en accédant à ce page de démonstration.