研究人員找出建立Android及iOS裝置獨特指紋的方法

來自英國劍橋大學與Polymath Insight的3名研究人員最近發表了一篇研究報告，指稱可透過行動裝置內建的各種感應器找到這些裝置的獨特指紋，而得以追蹤這些裝置的活動，且已成功取得iPhone、Pixel 2與Pixel 3的硬體指紋。

研究人員將這些自感應器蒐集的裝置指紋稱為SensorID，其中，iOS裝置的SensorID結合了陀螺儀與磁力計的校正指紋，Android裝置的SensorID則為加速計的校正指紋。

這是因為現代智慧型手機中內建了各種基於微機電（MEMS）技術的感應器，相較於傳統的感應器，MEMS感應器較容易產生各種誤差而失準，而製造商則會在出廠設定中，以感應器校正來補償失誤。

研究人員即發現，iOS裝置中有關陀螺儀與磁力計的出廠校正資料是獨特的，每臺手機都不同，而Pixel 2與Pixel 3也有獨特的加速計出廠校正資料。因此，他們只要能夠擷取出這些校正資料，就能替每臺手機建立可供辨識的硬體指紋。

而且，發動校正指紋攻擊的方式很簡單，只要利用行動程式，或是在網站上嵌入惡意功能，完全不需要使用者的互動，在1秒內就能取得感應器的校正資料並建立指紋。

根據研究人員的測試，他們已成功蒐集並建立了870臺iOS裝置的指紋，它們不但沒有重覆，就算在不同的時間點發動攻擊，所取得的指紋也是一致的。

除了iOS及Android之外，Safari、Chrome、Firefox、Opera或Brave等瀏覽器，也都無法阻止研究人員以特製網頁來擷取感應器的校正指紋。

蘋果在去年8月收到研究人員的通知之後，已於今年3月釋出的iOS 12.2中修補了相關漏洞，在同年12月收到通知的Google，則尚在調查此一問題的危害程度。