Les chercheurs ne cessent de trouver de nouvelles façons dont usent les annonceurs pour suivre les utilisateurs sur les sites Web et les applications en "empreintes digitales" des caractéristiques uniques de leurs appareils.
Certains de ces identifiants sont bien connus, y compris les numéros de téléphone et IMEI, ou les adresses Wi-Fi et Bluetooth Mac, c'est pourquoi l'accès à ces données est contrôlé par des permissions.
Mais les appareils iOS et Android ont beaucoup d'autres matériels qui pourraient, en théorie, être utilisés pour atteindre le même but.
Dans l'étude SensorID : Sensor Calibration Fingerprinting for Smartphones, des chercheurs de l'Université de Cambridge donnent un aperçu du tout dernier candidat - l'étalonnage des capteurs par empreinte digitale.
Si les capteurs n'ont pas l'air d'une grosse problématique, rappelez-vous que les smartphones d'aujourd'hui en sont remplis sous forme d'accéléromètres, magnétomètres, gyroscopes, GPS, caméras, microphones, capteurs de lumière ambiante, baromètres, capteurs de proximité et autres.
Les chercheurs ont cherché à savoir si ces capteurs pouvaient être utilisés pendant un certain temps pour identifier des dispositifs à l'aide d'algorithmes d'apprentissage machine sans grand succès, mais les chercheurs de Cambridge ont finalement résolu le problème avec une nouvelle preuve de concept pour les dispositifs iOS utilisant des co-processeurs de mouvement M-series.
Et il y a une bonne raison pour laquelle les capteurs représentent une cible attrayante, disent les chercheurs :
L'accès à ces capteurs ne nécessite pas de permissions spéciales, et les données peuvent être accessibles via une application native installée sur un appareil, mais aussi par JavaScript lorsque vous visitez un site Web sur un appareil iOS et Android.
En d'autres termes, contrairement à la technique traditionnelle des empreintes digitales, personne ne les arrêtera, ni ne leur demandera la permission de faire ce qu'ils font, ni même ne remarquera que cela se produit, rendant l'exercice entier invisible.
Pour les annonceurs, c'est la forme parfaite de prise d'empreintes digitales de l'appareil - une forme que personne ne remarque.
Attaque d'étalonnage par empreinte digitale
Il s'avère que les capteurs MEMS (Micro-Electro-Mechanical Systems) sont imprécis à de minuscules égards qui peuvent être utilisés pour identifier les uns des autres :
La variation naturelle au cours de la fabrication des capteurs intégrés signifie que la sortie de chaque capteur est unique et qu'ils peuvent donc être exploités pour créer une empreinte digitale du dispositif.
Pour les appareils haut de gamme (tous les appareils Apple et les smartphones Pixel 2 et 3 de Google), les fabricants tentent de compenser ce phénomène par un processus de calibration appliqué à chacun.
Cela signifie que l'inexactitude d'identification peut être déduite en connaissant le niveau de compensation appliqué pendant ce processus.
La bonne nouvelle, c'est que lorsque les chercheurs ont communiqué leurs résultats à Apple en août dernier, ils l'ont corrigé dans une mise à jour identifiée comme CVE-2019-8541 dans iOS 12.2 en mars 2019.
Apple a adopté la suggestion des chercheurs d'ajouter un bruit aléatoire à la sortie du convertisseur analogique-numérique et de supprimer l'accès par défaut aux détecteurs de mouvement dans Safari.
C'est tout aussi bien car, ironiquement, les appareils Apple iOS sont beaucoup plus sensibles à l'empreinte d'étalonnage que la plupart des appareils Android où l'étape d'étalonnage complexe est souvent omise pour des raisons de coût.
Toutefois, les appareils Android haut de gamme qui utilisent l'étalonnage pourraient encore être affectés, ce dont Google a été informé en Décembre 2018, mais, contrairement à Apple, n'a pas encore résolu avec une solution.
De telles recherches servent à mettre l'accent sur un thème familier. Si les annonceurs et les sites Web veulent suivre les appareils, ils ont beaucoup à y gagner.
La question de savoir si l'un d'entre eux sauterait à travers les mailles du filet complexes nécessaires pour obtenir les données des capteurs semble hautement improbable lorsqu'il existe de nombreux moyens plus simples d'y parvenir.
Par John E Dunn
sauce :
https://nakedsecurity.sophos.com/2019/06/03/your-phones-sensors-could-be-used-as-a-cookie-you-cant-delete/