Seguridad

Sensores de calibración generan una huella única en dispositivos iOS y algunos Android

A partir de la información que exponen los sensores de nuestros dispositivos es posible realizar una identificación única entre todos los demás dispositivos, dejando un rastro de lo que visitamos en Internet. Este identificador único nunca cambia, incluso después de restaurar los valores de fábrica en el terminal.

Como ya sabemos, al acceder a una página web, el navegador expone información del dispositivo, como el nombre y versión del navegador, tamaño de la pantalla, fuentes instaladas, etc. Esta información sirve para crear una mejor experiencia para el usuario, aunque también puede ser utilizada para rastrearlo. Saber si estás de vuelta en una misma página o cuales son tus acciones en Internet, permitiendo, entre otros, a los anunciantes generar un perfil de usuario y, por lo tanto, una visión más específica de sus intereses personales.

Investigadores de la Universidad de Cambridge han desarrollado un nuevo ataque denominado Calibration fingerprinting attack o SensorID. Utilizan información recogida del acelerómetro, giroscopio y magnetómetro para generar una identificación única a nivel global del dispositivo. Este ataque afecta a los dispositivos iOS más que a Android puesto que Apple calibra los sensores en la línea de fábrica para mejorar la precisión de los sensores, cosa que pocos proveedores de Android hacen.

Esta identificación tiene las siguientes características:

  • Puede ser generada por cualquier app o sitio web que se visite, sin confirmación por parte del usuario.
  • Se tarda menos de un segundo en generar este ID.
  • El ID generado nunca cambia, incluso al restablecer el terminal.
  • Este ataque provee una forma efectiva de rastrear un dispositivo y navegador en Internet.

En respuesta a este fallo Apple ha añadido ruido en el output de ADC para que el identificador que se genera sea aleatorio y no se repita. Además, ha eliminado el acceso a la información de los sensores por defecto desde Mobile Safary en su actualización iOS 12.2.

Este fallo a nivel de privacidad ha sido identificado como CVE-2019-8541.

Más información:

ieee-security.org
https://www.ieee-security.org/TC/SP2019/papers/405.pdf

University of Cambridge
https://sensorid.cl.cam.ac.uk/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.