Los investigadores continúan encontrando nuevas formas con las que anunciantes pueden rastrear a los usuarios en sitios web y aplicaciones “identificando” las características únicas de sus dispositivos.

Algunos de estos identificadores son bien conocidos, incluidos los números de teléfono y IMEI, o las direcciones Mac de Wi-Fi y Bluetooth, por lo que el acceso a estos datos se controla mediante permisos.

Pero los dispositivos iOS y Android tienen muchas otras funciones que, en teoría, podrían usarse para lograr el mismo fin.

En el estudio SensorID: Sensor Calibration Fingerprinting for Smartphones, los investigadores de la Universidad de Cambridge, ofrecen su visión sobre el último candidato: el rastreo por calibración de sensores.

Si los sensores no parecen un gran problema, debemos recordar que los teléfonos inteligentes de hoy están llenos de ellos en forma de acelerómetros, magnetómetros, giroscopios, GPS, cámaras, micrófonos, sensores de luz ambiental, barómetros, sensores de proximidad y muchos otros.

Los investigadores han estado analizando, sin mucho éxito, si estos sensores podrían usarse para identificar dispositivos por un período de tiempo, utilizando algoritmos de aprendizaje automático, sin embargo los analistas de Cambridge finalmente resolvieron el problema con una prueba de concepto ,novedosa para los dispositivos iOS, que utilizan los sistemas de movimiento de los procesadores de la serie M.

Y hay una buena razón por la que los sensores representan un objetivo atractivo, dicen los investigadores:

El acceso a estos sensores no requiere permisos especiales, y se puede acceder a los datos a través de una aplicación nativa instalada en un dispositivo y también de JavaScript cuando se visita un sitio web en un dispositivo iOS o Android.

En otras palabras, a diferencia de las huellas tradicionales, nadie las detendrá, pedirá permiso para hacer lo que se está haciendo, o incluso notará que está sucediendo, haciendo que todo el ejercicio sea invisible.

Para los anunciantes, esa es la forma perfecta de tomar huellas de un dispositivo: la que nadie lo nota.

Ataque de calibración de huellas

Resulta que los sensores MEMS (Micro-Electro-Mechanical Systems) son inexactos en pequeñas maneras que pueden usarse para identificarlos:

La variación natural durante la fabricación de sensores integrados significa que la salida de cada sensor es única y, por lo tanto, pueden explotarse para crear una huella digital del dispositivo.

Para los dispositivos de gama alta (todos los dispositivos Apple y los teléfonos inteligentes Pixel 2 y 3 de Google), los fabricantes intentan compensar esto mediante un proceso de calibración aplicado a cada uno.

Esto significa que la inexactitud de identificación se puede inferir al conocer el nivel de compensación aplicado durante este proceso.

La buena noticia es que cuando los investigadores informaron sus hallazgos a Apple en agosto pasado, lo solucionaron en una actualización identificada como CVE-2019-8541 en iOS 12.2 en marzo de 2019.

Apple adoptó la sugerencia de los investigadores que consistía en agregar ruido aleatorio a la salida del convertidor analógico a digital y eliminar el acceso predeterminado a los sensores de movimiento en Safari.

Todo esto porque, irónicamente, los dispositivos Apple iOS son mucho más susceptibles a la calibración de huellas que la mayoría de los dispositivos Android, donde la compleja etapa de calibración a menudo se elimina por razones de coste.

Sin embargo, los dispositivos Android de gama alta que utilizan la calibración podrían verse afectados, algo que se le dijo a Google en diciembre de 2018 pero que, a diferencia de Apple, aún tiene que solucionar.

Investigaciones como esta sirven para enfatizar un tema habitual. Si los anunciantes y los sitios web desean realizar un seguimiento de los dispositivos, tienen muchas formas de hacerlo.

El hecho de que alguien lo intente a través de los complejos cálculos necesarios para procesar los datos del sensor parece muy poco probable cuando hay muchas otra formas más simples de lograr lo mismo.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: