新的设备指纹识别技术可以通过使用出厂设置的传感器校准详细信息，跟踪互联网上的Android和iOS设备，而无需特殊许可即可获得任何应用程序或网站。

这种新技术--称为校准指纹攻击，或传感器ID--通过使用来自IOS的陀螺仪和磁力仪传感器的校准细节；以及在Android设备上的加速计、陀螺仪和磁力仪传感器的校准细节。

根据英国剑桥大学的一组学者，sensorid会影响iOS设备，而不仅仅是Android智能手机。原因是，苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，这是因为只有少数安卓供应商正在使用这些传感器来提高智能手机“传感器”的准确性。

研究小组在昨天发表的一篇研究论文中表示：“我们的方法是仔细分析传感器提供的数据，这些传感器无需对网站和应用程序都有任何特殊权限即可访问。”

"我们的分析推断制造商嵌入智能手机固件中的每个设备工厂校准数据，以补偿系统的制造错误[在其设备中的传感器]，"研究人员说。

然后，该校准数据可以用作指纹，产生独特的标识符，该标识符广告或分析公司可以使用该标识符来跟踪用户，因为它们在因特网上导航。

此外，因为当使用应用程序或通过网站提取时，校准传感器指纹是相同的，此技术也可用于跟踪用户，因为它们在浏览器和第三方应用程序之间切换，允许分析公司完全了解用户在其设备上做什么。

此外，该技术也不会对所有跟踪的实体造成任何技术困难。

"提取校准数据通常花费少于一秒并且不依赖于设备的位置或取向,"研究人员说。

他们增加了"我们还尝试在不同位置和不同温度下测量传感器数据；我们确认这些因素不会改变传感器ID，"。

即使在出厂重置之后，传感器校准指纹也不会改变，从而允许跟踪实体访问标识符为唯一且持久的IMEI码。

此外，这种类型的跟踪对于用户也是无声的和不可见的。这是因为访问传感器校准详细信息以计算设备的指纹的应用程序或网站不需要任何特殊的权限来执行此操作。

在2018年8月和2018年12月分别通知苹果和谷歌这一新跟踪向量的三人研究团队表示，他们分别于2018年8月和2018年12月通知苹果和谷歌。

今年三月，苹果通过向传感器校准输出添加随机噪声，修补了此问题（CVE-2019-8541）。这意味着从IOS12.2开始，iPhone和iPad将使用每个传感器校准查询生成一个新的指纹，使这种类型的用户跟踪无用。

此外，为了消除任何其他潜在的麻烦，苹果还取消了网站从MobileSafari访问移动传感器数据的能力。

但当苹果更迅速地解决这个问题时，谷歌并不是，而且只告诉研究人员，他们会调查。

这很可能是因为iOS设备比Android智能手机更多地暴露于这种类型的跟踪，其中生态系统的一个大问题是由使用未经校准的运动传感器的低成本设备组成的。

根据研究小组的说法，他们发现的追踪方法确实对苹果设备更加危险，主要是因为设备的同质性和苹果倾向于使用非常精确的(校准的)运动传感器来运送更高质量的手机。

不过，类似的顶级Android智能手机也很容易受到攻击。在他们的测试中，研究人员说，他们的技术成功地生成了像素2和像素3设备的传感器校准指纹。

有关此研究的更多详细信息，请参阅昨天在IEEE安全与隐私专题讨论会（IEEES&P"19）上提交的标题为“"传感器ID：智能手机的传感器校准指纹，"”的白皮书。

用户可以查看其设备是否易受攻击并生成传感器校准指纹的演示页面也是可用的。