btbilgi

Akıllı telefon sensörlerini kullanan yeni bir siber tehlike tipi ortaya çıkartıldı. Kalibrasyon parmak izi saldırısı (calibration fingerprinting attack) veya SensorID olarak adlandırılan bu yeni teknik, mobil işletim sistemlerinin farklı özelliklerinden faydalanıyor. iOS üzerinde jiroskop ve manyetometre sensörlerinden gelen kalibrasyon ayrıntılarını; Android cihazlarda ise ivmeölçer, jiroskop ve manyetometre sensörlerinden gelen kalibrasyon detaylarını kullanmakta. Bu sensörlerden toplanan ayrıntılı veriler, herhangi bir uygulamanın veya web sitesinin özel izinler olmadan iOS ve Android cihazlarını internet üzerinde takip edebilmesini sağlayabiliyor.

İngiltere’deki Cambridge Üniversitesi’nden bir araştırma ekibi SensorID tekniğini ortaya çıkartmış. Yayımlanan bir bilimsel makalede şöyle anlatılmakta: “Yaklaşımımız web sitelerine ve uygulamalara herhangi bir özel izin vermeden erişilebilen sensör verilerinin analiz edilmesine dayanıyor. Akıllı telefon üreticileri cihazlarının sensörlerinde oluşabilen sistematik üretim hatalarını telafi etmek için, telefonun ana yazılımına (firmware) fabrika kalibrasyon verileri eklerler. Bu kalibrasyon verileri daha sonra kullanıcının cihazını tanımlayan bir parmak izi oluşturmakta kullanılabiliyor.”

Teknik olarak kalibrasyon verilerini toplamanın, takip işlemini yapacak taraflar için herhangi bir zorluk teşkil etmediği de belirtilmiş: “Kalibrasyon verilerinin çıkarılması tipik olarak bir saniyeden daha kısa sürer ve cihazın konumuna veya yönüne bağlı değildir. Sensör verilerini farklı yerlerde ve farklı sıcaklıklarda ölçmeyi de denedik; bu faktörlerin SensorID işlemini değiştirmediğini doğruladık.”

İşin kötüsü bahsedilen sensör kalibrasyon verileri, akıllı telefon fabrika ayarlarına döndürülse bile değişmiyor. Yani aynı bir cihazı tanımlamak için kullanılan IMEI kodunun sabit kalması gibi, bu veriler de kullanıcıyı tanımlama için bir kez devreye sokulunca asla kaybedilmiyor. Bu verilerle oluşturulan takip mekanizması kullanıcılar açısından farkedilebilir de değil. Çünkü bir mobil cihazın sensör kalibrasyon ayrıntılarına erişen uygulamalar veya web siteleri, bunun için kullanıcıdan özel bir izin istemiyor.

Çalışmayı yapan araştırma ekibi sonuçlardan Ağustos 2018’de Apple’ı ve Aralık 2018’de Google’ı haberdar ettiklerini söylemiş. Apple bu problemi (CVE-2019-8541) 2019’un Mart ayında piyasaya sürdüğü iOS 12.2 versiyonu ise çözmüş. Bundan sonra iPhone’ların ve iPad’lerde her sensör kalibrasyon sorgusunda yeni bir parmak izi üretmesi sözkonusu. Yani kullanıcıları bu verilerden faydalanarak tanımlamak imkansız hale gelmiş durumda. Google ise sadece araştırmacılara bir inceleme yapacaklarını aktarmış.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.