近日，據外媒報道，在智能手機領域，一種新的攻擊技術已經浮出水面。一項新的設備指紋識別技術可以使用出廠時設置的詳細傳感器校準信息，跟蹤互聯網上的Android和iOS設備，任何應用或網站都可以在沒有特殊權限的情況下獲取這些信息。

據悉，近日，來自劍橋大學計算機實驗室的一組研究人員設計了一種威脅智能手機的新攻擊技術。該方法稱為“SensorID”，足以跟蹤大多數Android和iOS設備的在線活動。

傳感器校準指紋識別攻擊技術

研究人員探索了一種新的傳感器數據指紋攻擊方法：傳感器校準指紋識別攻擊技術。該技術通過仔細分析傳感器輸出，從設備中推斷每個設備的工廠校準數據。它一般通過使用iOS上的陀螺儀和磁力計傳感器的校準細節來實現；也可以使用Android設備上的加速度計、陀螺儀和磁力計傳感器的校準細節。

這種攻擊不需要直接訪問任何校準參數，因為這些參數通常嵌入設備固件中，應用程序開發人員無法直接訪問。

他們通過對iOS和Android設備中的慣性測量單元傳感器執行校準指紋攻擊來證明這類新攻擊的潛力。

這些傳感器是很好的候選者，因為對這些傳感器的訪問不需要任何特殊的權限，當訪問iOS和Android設備上的網站時，可以通過安裝在設備上的本機應用程序和JavaScript訪問數據。

研究人員表明，他們能夠執行非常有效的校準指紋攻擊：他們的方法需要不到100個傳感器數據樣本，并且收集和處理到一個設備指紋所需的時間不超過一秒鐘，并且不會隨著時間或工廠重置而改變。“我們還嘗試在不同位置和不同溫度下測量傳感器數據，我們確認這些因素也不會改變SensorID。”

研究人員說，我們證明，我們的方法極有可能為iOS設備生成全球唯一的指紋。

此外，由于校準傳感器指紋在使用應用程序或網站提取時都是相同的，因此該技術還可用于跟蹤用戶在瀏覽器和第三方應用程序之間的切換，允許分析公司全面了解用戶的設備使用情況。

同時，由于無需獲取特殊權限，因此用戶無法察覺這種類型的跟蹤。

Android用戶更加脆弱

雖然，傳感器校準攻擊會影響iOS和Android智能手機。但是，由于Apple在出廠時校準這些設備，iOS用戶仍然相對不太容易受到這些攻擊。此外，每個iOS設備都有獨特的校準數據。

相反，Android設備更容易受到影響，因為很少有Android制造商在工廠生產線上進行每設備校準，原因是程序成本高且復雜。

幸運的是，隨著iOS 12.2的發布，Apple修補了該漏洞。因此，iOS用戶可以簡單地更新他們的設備以保持受保護。但是，Android用戶仍然容易受到這些攻擊。

作為可能的緩解措施，研究人員建議，為了緩解這種校準指紋攻擊，供應商可以在應用校準之前將均勻分布的隨機噪聲添加到ADC輸出。或者，供應商可以將傳感器輸出舍入到最接近標稱增益的倍數。