圖片來源:翻攝自https://www.youtube.com/watch?v=w95SiRYaMx0

來自英國劍橋大學與Polymath Insight的3名研究人員最近發表了一篇研究報告,指稱可透過行動裝置內建的各種感應器找到這些裝置的獨特指紋,而得以追蹤這些裝置的活動,且已成功取得iPhone、Pixel 2與Pixel 3的硬體指紋。

研究人員將這些自感應器蒐集的裝置指紋稱為SensorID,其中,iOS裝置的SensorID結合了陀螺儀與磁力計的校正指紋,Android裝置的SensorID則為加速計的校正指紋。

這是因為現代智慧型手機中內建了各種基於微機電(MEMS)技術的感應器,相較於傳統的感應器,MEMS感應器較容易產生各種誤差而失準,而製造商則會在出廠設定中,以感應器校正來補償失誤。

研究人員即發現,iOS裝置中有關陀螺儀與磁力計的出廠校正資料是獨特的,每臺手機都不同,而Pixel 2與Pixel 3也有獨特的加速計出廠校正資料。因此,他們只要能夠擷取出這些校正資料,就能替每臺手機建立可供辨識的硬體指紋。

而且,發動校正指紋攻擊的方式很簡單,只要利用行動程式,或是在網站上嵌入惡意功能,完全不需要使用者的互動,在1秒內就能取得感應器的校正資料並建立指紋。

根據研究人員的測試,他們已成功蒐集並建立了870臺iOS裝置的指紋,它們不但沒有重覆,就算在不同的時間點發動攻擊,所取得的指紋也是一致的。

除了iOS及Android之外,Safari、Chrome、Firefox、Opera或Brave等瀏覽器,也都無法阻止研究人員以特製網頁來擷取感應器的校正指紋。

蘋果在去年8月收到研究人員的通知之後,已於今年3月釋出的iOS 12.2中修補了相關漏洞,在同年12月收到通知的Google,則尚在調查此一問題的危害程度。


Advertisement

更多 iThome相關內容