image

Aanval kan van elke iPhone unieke fingerprint genereren

woensdag 22 mei 2019, 14:53 door Redactie, 5 reacties

Onderzoekers hebben een nieuwe aanval ontwikkeld waardoor ze van elke iPhone een unieke fingerprint kunnen genereren, waarmee de toestellen vervolgens door websites en apps te volgen zijn. Het gebruik van fingerprinting om internetgebruikers te volgen vindt al geruime tijd plaats.

Hierbij wordt er gekeken naar eigenschappen van het apparaat van de gebruiker, zoals schermresolutie en geïnstalleerde fonts en plug-ins. Om de privacy van gebruikers te beschermen kwamen browserontwikkelaars met allerlei maatregelen om fingerprinting tegen te gaan. Onderzoekers van de Universiteit van Cambridge en Polymath Insight ontwikkelden een nieuwe aanval waarbij websites een unieke fingerprint van iPhone-gebruikers kunnen maken (pdf).

De "calibration fingerprinting" aanval maakt gebruik van informatie die via de versnellingsmeter, gyroscoop en magnetometer wordt verzameld. Bij de productie van deze sensoren kunnen er kleine fouten optreden. Sommige fabrikanten kalibreren deze sensoren vervolgens om de fouten te verhelpen. Deze kalibratieparameters zijn uit te lezen en te gebruiken om het toestel te fingerprinten.

Volgens de onderzoekers zijn deze bewegingssensoren ideaal omdat ze geen speciale permissies van de gebruiker vereisen en de data zowel te benaderen is door geïnstalleerde apps als door JavaScript op websites. De vingerafdruk wordt binnen een seconde gegenereerd en is uniek voor elk iOS-toestel. Daarnaast blijft de vingerafdruk hetzelfde, ook als er een fabrieksreset van het toestel wordt gereset.

"De aanval biedt een effectieve manier om gebruikers te volgen op het web en als ze apps op hun telefoon gebruiken", aldus de onderzoekers. Ze stellen dat de aanval zeer effectief is tegen iOS-toestellen, waar unieke vingerafdrukken zijn te genereren. De aanval werkt ook tegen de Google Pixel 2 en Pixel 3. Om dergelijke aanvallen te voorkomen adviseren de onderzoekers om willekeurige ruis toe te voegen aan de uitvoer van de sensor voordat er enige calibratie plaatsvindt.

Apple kwam in maart met een beveiligingsupdate voor het probleem, dat met iOS 12.2 is verholpen. "Er was een privacyprobleem bij de kalibratie van de bewegingssensor. Dit probleem is verholpen door de verwerking van de bewegingssensor te verbeteren", aldus de uitleg van Apple. Daarnaast heeft Apple recentelijk de toegang van Mobile Safari tot de bewegingssensoren verwijderd.

Image

Reacties (5)
22-05-2019, 18:55 door [Account Verwijderd]
Maar goed dat fingerprinting in NL verboden is tegenwoordig.
22-05-2019, 23:58 door Anoniem
Door AdvWest: Maar goed dat fingerprinting in NL verboden is tegenwoordig.
Ja facebook & co zullen daar vanzelfsprekend rekening mee houden en dat in Nederland dan ook niet doen.
Geloof jij het?
23-05-2019, 07:39 door spatieman
alsof de badguy dit respecteert....
23-05-2019, 09:48 door Anoniem
Dat kan alleen maar als je hem op deze manier opzettelijk zo gemaakt hebt, of dermate incompetent bent. Kies maar waar je in wilt geloven. Misschien wordt het tijd voor miljarden boetes ipv miljoenen boetes voor dit soort bedrijven.
23-05-2019, 10:09 door Anoniem
Ik lees dat Apple het probleem al opgelost heeft.

Apple kwam in maart met een beveiligingsupdate voor het probleem, dat met iOS 12.2 is verholpen. "Er was een privacyprobleem bij de kalibratie van de bewegingssensor. Dit probleem is verholpen door de verwerking van de bewegingssensor te verbeteren", aldus de uitleg van Apple. Daarnaast heeft Apple recentelijk de toegang van Mobile Safari tot de bewegingssensoren verwijderd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.