Los investigadores continuan encontrando nuevas formas con las que anunciantes pueden rastrear a los usuarios en sitios web y aplicaciones “identificando” las caracteristicas unicas de sus dispositivos.

Algunos de estos identificadores son bien conocidos, incluidos los numeros de telefono y IMEI, o las direcciones Mac de Wi-Fi y Bluetooth, por lo que el acceso a estos datos se controla mediante permisos.

Pero los dispositivos iOS y Android tienen muchas otras funciones que, en teoria, podrian usarse para lograr el mismo fin.

En el estudio SensorID: Sensor Calibration Fingerprinting for Smartphones, los investigadores de la Universidad de Cambridge, ofrecen su vision sobre el ultimo candidato: el rastreo por calibracion de sensores.

Si los sensores no parecen un gran problema, debemos recordar que los telefonos inteligentes de hoy estan llenos de ellos en forma de acelerometros, magnetometros, giroscopios, GPS, camaras, microfonos, sensores de luz ambiental, barometros, sensores de proximidad y muchos otros.

Los investigadores han estado analizando, sin mucho exito, si estos sensores podrian usarse para identificar dispositivos por un periodo de tiempo, utilizando algoritmos de aprendizaje automatico, sin embargo los analistas de Cambridge finalmente resolvieron el problema con una prueba de concepto ,novedosa para los dispositivos iOS, que utilizan los sistemas de movimiento de los procesadores de la serie M.

Y hay una buena razon por la que los sensores representan un objetivo atractivo, dicen los investigadores:

El acceso a estos sensores no requiere permisos especiales, y se puede acceder a los datos a traves de una aplicacion nativa instalada en un dispositivo y tambien de JavaScript cuando se visita un sitio web en un dispositivo iOS o Android.

En otras palabras, a diferencia de las huellas tradicionales, nadie las detendra, pedira permiso para hacer lo que se esta haciendo, o incluso notara que esta sucediendo, haciendo que todo el ejercicio sea invisible.

Para los anunciantes, esa es la forma perfecta de tomar huellas de un dispositivo: la que nadie lo nota.

Ataque de calibracion de huellas

Resulta que los sensores MEMS (Micro-Electro-Mechanical Systems) son inexactos en pequenas maneras que pueden usarse para identificarlos:

La variacion natural durante la fabricacion de sensores integrados significa que la salida de cada sensor es unica y, por lo tanto, pueden explotarse para crear una huella digital del dispositivo.

Para los dispositivos de gama alta (todos los dispositivos Apple y los telefonos inteligentes Pixel 2 y 3 de Google), los fabricantes intentan compensar esto mediante un proceso de calibracion aplicado a cada uno.

Esto significa que la inexactitud de identificacion se puede inferir al conocer el nivel de compensacion aplicado durante este proceso.

La buena noticia es que cuando los investigadores informaron sus hallazgos a Apple en agosto pasado, lo solucionaron en una actualizacion identificada como CVE-2019-8541 en iOS 12.2 en marzo de 2019.

Apple adopto la sugerencia de los investigadores que consistia en agregar ruido aleatorio a la salida del convertidor analogico a digital y eliminar el acceso predeterminado a los sensores de movimiento en Safari.

Todo esto porque, ironicamente, los dispositivos Apple iOS son mucho mas susceptibles a la calibracion de huellas que la mayoria de los dispositivos Android, donde la compleja etapa de calibracion a menudo se elimina por razones de coste.

Sin embargo, los dispositivos Android de gama alta que utilizan la calibracion podrian verse afectados, algo que se le dijo a Google en diciembre de 2018 pero que, a diferencia de Apple, aun tiene que solucionar.

Investigaciones como esta sirven para enfatizar un tema habitual. Si los anunciantes y los sitios web desean realizar un seguimiento de los dispositivos, tienen muchas formas de hacerlo.

El hecho de que alguien lo intente a traves de los complejos calculos necesarios para procesar los datos del sensor parece muy poco probable cuando hay muchas otra formas mas simples de lograr lo mismo.

Para manteneros al dia de las ultimas amenazas haceros fans de nuestra pagina de Facebook o siguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletin de seguridad en tu correo electronico, suscribete en la siguiente aplicacion: