Ik voorspel dat dit soort berichten nooit zal eindigen. 100% veiligheid is onmogelijk voor een apparaat dat in netwerken wordt gebruikt. Het probleem is dat digitale veiligheid concurreert met bruikbaarheid. Nu is weer ontdekt dat de telefoons van Apple en Google (resp. iPhone en Pixel) kwetsbaar zouden zijn door de in die toestellen gebruikte sensoren. Apple zou het lek gedicht hebben, maar bij Android, het besturingssysteem van Google, is nog geen oplossing.
Onderzoekers van de universiteit van Cambridge hebben een manier ontdekt om het doen en laten van gebruikers van telefoons en tablets te volgen. Voor die methode, SensorID gedoopt, hadden ze geen bijzondere bevoegdheden nodig. Het schijnt iets te maken te hebben met de ijking van die sensoren.
Sommige fabrikanten ijken hun sensoren in de fabriek. Zo zitten er op de iPhone een gyroscoop en een magnetometer die zo’n ijkprocedure ondergaan evenals de versnellingsmeters in de Androidtoestellen van Google. De onderzoekers ontdekten dat het mogelijk was om op al deze apparaten toegang te krijgen tot kalibratie-informatie en om een unieke identificator te maken zonder speciale toestemming, zodra het apparaat een toepassing gebruikt of een webstek bezoekt.
Dat unieke identificatienummer van het toestel wordt gebruikt door adverteerders. Er zijn al tientalllen technieken om indentificatoren te creëren waarmee gebruikers gevolgd kunnen worden, maar SensorID biedt de mogelijkheid vrij toegang te hebben als er een toepassing loopt of de gebruiker het web bezoekt. Dat schijnt niet te kunnen worden veranderd. Ook een herinststallatie van je hele telefoon of tablet zou daar niks aan veranderen.
Misbruik
De onderzoekers weten niet of de pas ontdekte sensorlekken al misbruikt zijn. Toch is de ijkinformatie nog steeds vrij toegankelijk. Die wordt door ten minste 2650 van de 100 000 drukst bezochte webstekken verzameld. Apple calibreert de sensoren voor zijn telefoons en tablets routinematig. Alle iOS-apparaten vanaf iPhone 5S, iPad Air en iPod Touch vanaf de zesde generatie hebben (hadden) last van het sensorlek. Bij Android is ijking minder gebruikelijk. Daar gaat het vooral om de duurste modellen.
De onderzoekers hebben slechts toegang gehad tot een klein aantal Android-telefoons. Het merendeel leek niet vatbaar voor deze ‘inbraakmethode’. Ze zijn er wel in geslaagd in Pixel 2 en 3 van Google in te breken via SensorID om daar een unieke identificator te creëren. Welke andere modellen ze getest hebben wilden de onderzoekers niet zeggen. Het is daardoor onmogelijk te zeggen welke Android-toestellen gevaar lopen.
Voor bezitters van Appleproducten is het goed om de laatste versie van iOS op je toestel te zetten. Google is nog niet zover, maar schijnt er aan te werken. Op deze plaats vraag ik me af of de onderzoekers dan wel gerechtigd zijn dit soort onopgeloste lekken te melden…
Bron: Futura-Sciences