SensorID o cómo funcionaba el rastreo de dispositivos iOS vía web y que fue solucionado con iOS 12.2

SensorID o cómo funcionaba el rastreo de dispositivos iOS vía web y que fue solucionado con iOS 12.2

Sin comentarios Facebook Twitter Flipboard E-mail
SensorID o cómo funcionaba el rastreo de dispositivos iOS vía web y que fue solucionado con iOS 12.2

iOS 12.2 ha puesto fin a una sofisticada técnica de rastreo de dispositivos iOS a través de la web. Conocido como SensorID, este sistema aprovechaba la información de calibración de los sensores del iPhone o iPad para "perseguir" al dispositivo por la web.

Como señalan los investigadores en su web, rastrear a usuarios mediante identificadores únicos puede utilizarse para evitar el robo de identidades. Pero también para hacer un perfil de usuario por parte de los anunciantes a lo largo de su actividad en la web.

Cómo funciona SensorID y su rastreo de dispositivos de Apple

Los investigadores Jiexin Zhang, Alastair Beresford e Ian Sheret han dado a conocer este nuevo tipo de ataque a través del fingerprinting o rastreo de los sensores de calibración del iPhone. Estos sensores incluyen el acelerómetro, magnetómetro y giroscopio y, en teoría, puede funcionar en cualquier dispositivo con calibración de fábrica.

Esta calibración se hace de manera individual en el proceso de fabricación para hacer los sensores más precisos. Los fabricantes, generalmente, solo lo efectúan en los modelos de gama alta ya que es un proceso caro y complicado.

Según este método, los investigadores son capaces de utilizar cualquier web o app para acceder a estos datos, ya que no necesitan permisos especiales:

Nuestro análisis infiere los datos de calibración de fábrica para cada dispositivo embebido por los fabricantes en el firmware del smartphone para compensar por los errores sistemáticos de fabricación. Estos datos de calibración pueden ser utilizados como el "fingerprint" [dato identificativo].

Sin permisos especiales por parte del usuario, el análisis se completa en unos segundos. El identificativo es único y universal y es un método efectivo para seguirte por la web. Para complicar más las cosas, un reseteo de fábrica no lo altera.

iOS 12.2 solucionó el problema en marzo

iPhone

Aunque no es un problema de seguridad grave, sí que es un método intrusivo con nuestra privacidad. Los investigadores contactaron con Apple por las vías adecuadas el pasado 3 de agosto de 2018. Apple ha acabado corrigiéndolo el pasado mes de marzo con iOS 12.2. En el caso de los Pixel de Google también afectados, la empresa fue notificada en diciembre pero aún no tiene solución.

Se desconoce si este método ha sido utilizado de forma activa. Desde luego, resulta muy atractivo ya que en iOS hay un sandboxing bastante estricto. La solución propuesta por los investigadores es introducir ruido distribuido de forma uniforme en el ADC antes de la aplicación de la calibración. Hay más detalles en el trabajo elaborado por los mismos.

Desde luego, estamos ante un nuevo caso en el que los usuarios de iOS debemos mantener nuestros dispositivos actualizados a la última versión.

Vía | mixx.io.

Comentarios cerrados
Inicio