来自英国剑桥大学与Polymath Insight的3名研究人员最近发布了一篇研究报告,指称可通过移动设备内置的各种传感器找到这些设备的独特指纹,而得以关注这些设备的活动,且已成功取得iPhone、Pixel 2与Pixel 3的硬件指纹。
研究人员将这些自传感器搜集的设备指纹称为SensorID,其中,iOS设备的SensorID结合了陀螺仪与磁力计的校正指纹,Android设备的SensorID则为加速计的校正指纹。
这是因为现代智能手机中内置了各种基于微机电(MEMS)技术的传感器,相较于传统的传感器,MEMS传感器较容易产生各种误差而失准,而制造商则会在出厂设置中,以传感器校正来补偿失误。
研究人员即发现,iOS设备中有关陀螺仪与磁力计的出厂校正数据是独特的,每台手机都不同,而Pixel 2与Pixel 3也有独特的加速计出厂校正数据。因此,他们只要能够截取出这些校正数据,就能替每台手机创建可供识别的硬件指纹。
而且,发动校正指纹攻击的方式很简单,只要利用移动程序,或是在网站上嵌入恶意功能,完全不需要用户的交互,在1秒内就能取得传感器的校正数据并创建指纹。
根据研究人员的测试,他们已成功搜集并创建了870台iOS设备的指纹,它们不但没有重复,就算在不同的时间点发动攻击,所取得的指纹也是一致的。
除了iOS及Android之外,Safari、Chrome、Firefox、Opera或Brave等浏览器,也都无法阻止研究人员以特定网页来截取传感器的校正指纹。
苹果在去年8月收到研究人员的通知之后,已于今年3月发布的iOS 12.2中修补了相关漏洞,在同年12月收到通知的Google,则尚在调查该问题的危害程度。