Nueva forma de recolección de datos a través de los sensores de iPhones y Google Pixel

Expertos en seguridad en páginas web publicaron una prueba de concepto para una nueva variante de ataque conocida como “calibration fingerprinting”, que usa los datos de los sensores de los dispositivos Apple para generar una huella digital única para cada usuario de equipos móviles en el mundo. Acorde a los expertos, esto puede proporcionar a los actores de amenazas una forma altamente efectiva para realizar actividades de seguimiento contra los usuarios de smartphones.

En su prueba de concepto, los expertos demostraron que los datos recopilados del acelerómetro, el giroscopio y el magnetómetro de los smartphones pueden ser utilizados para generar una huella digital en menos de un segundo. Esta huella digital será siempre igual, ni siquiera reiniciar el smartphone a sus configuraciones de fábrica la afectaría.

Los expertos afirman que el ataque puede ser lanzado desde cualquier sitio web malicioso a través de un navegador web, así como a través de cualquier aplicación móvil, sin necesidad de que el usuario otorgue algún permiso.

Desplegar este ataque en dispositivos de Apple es posible gracias a una falla de seguridad en el sistema operativo iOS 12.1 y versiones anteriores. Los expertos en seguridad en páginas web recomiendan a los usuarios actualizar a la más reciente versión del SO disponible para sus equipos. Acorde a los expertos, también es posible desplegar este ataque contra smartphones Pixel, de Google, aunque la compañía no se ha pronunciado al respecto.

La huella digital de un dispositivo permite a los sitios web que el usuario visita detectar las visitas posteriores del mismo usuario, así como algunas funciones de seguimiento, además de proteger a los usuarios contra algunas variantes de fraude de identidad o robo de tarjetas de pago. Algunas compañías emplean esta función para campañas de publicidad dirigida.

Una huella digital está integrada por datos básicos como: nombre y versión del navegador, tamaño de la pantalla, modelo del dispositivo, etc. Por razones de privacidad, los navegadores deben desarrollar medidas cada vez más eficientes para proteger esta información; Safari, por ejemplo, restringe el uso de cookies y otras funciones como seguimiento multi dominio.

Los especialistas en seguridad en páginas web descubrieron que es posible esquivar estos mecanismos de protección en cualquier dispositivo iOS versión 12.2 y anteriores, gracias a la “micro fabricación”, método de construcción de los sensores de movimiento en un smartphone moderno.    

Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) una primera medida de protección contra esta variante de ataque puede ser el uso de navegadores móviles con énfasis en la privacidad del usuario, donde se puede deshabilitar el acceso a los sensores de movimiento de un dispositivo.