Nova atako permesas ŝteli ĉifritajn ŝlosilojn de Android kaj malnovaj versioj de iOS

sekureco

La perfekta operaciumo ne ekzistas kaj praktike ne eblas krei unu sekure 100%. Lastatempe sekurecaj esploristoj sukcesis efektivigi atako kontraŭ iOS kaj Android-aparatoj que sukcese ŝteli kriptajn ŝlosilojn uzata por protekti Bitcoins, Apple Pay-kontojn kaj aliajn altvalorajn valoraĵojn. La eksplodi Ĝi estas tio, kion kriptografistoj nomas ne-invada flanka kanala atako kaj ĝi funkcias kontraŭ la Elipsa Kurba Cifereca Signatura Algoritmo, ĉifra sistemo vaste uzata, ĉar ĝi estas multe pli rapida ol multaj aliaj ĉifraj sistemoj.

La atako funkcias metante sondilon proksime al aparato poŝtelefone farante kriptigajn operaciojn, tiam atakanto povas mezuri sufiĉe da magnetaj eliĝoj por plene ĉerpi la sekretan ŝlosilon, kiu identigas la datumojn aŭ finajn transakciojn de la fina uzanto. Krome, ĝi ankaŭ povas esti farita se vi havas fizikan aliron al la fina stacio, ĉi-kaze konektante adaptilon al la USB-ŝarĝa kablo.

Atakanto povas mezuri ĉi tiujn fizikajn efikojn ne-invade per magneta sondilo de $ 2 metita proksime al la aparato, aŭ per improvizita USB-adaptilo konektita al la USB-kablo de la telefono kaj USB-sonkarto. Per ĉi tiuj rimedoj, ni povis plene ĉerpi sekretajn subskribajn ŝlosilojn OpenSSL kaj CoreBitcoin sur iOS-aparatoj. Ni ankaŭ montras partan ŝlosilan eliron de OpenSSL funkcianta en Android kaj iOS CommonCrypto.

kripto-atako

Android ankaŭ estas vundebla al ĉi tiu atako

iOS 9 ne plu estas vundebla Ĉi tiu atako pro aldonita sekureco en la nova versio, kiu malebligas flankajn kanalajn atakojn, sed eĉ uzantoj, kiuj havas la plej novan version de la poŝtelefona operaciumo de Apple instalita, povas esti en danĝero depende de la tria programo, kiun ni uzas. Unu vundebla iOS-aplikaĵo estas CoreBitcoin, ĉar ĝi uzas sian propran kriptigan efektivigon kaj ne la iOS CommonCrypto-bibliotekon. Programistoj de CoreBitcoin diris al la esploristoj, ke ili planas anstataŭigi sian nunan kriptan bibliotekon per unu, kiu ne estas vundebla al ĉi tiu atako. La plej nova versio de Bitcoin Core estas ekster la arbaro.

Aliflanke, la esploristoj ankaŭ diris, ke ili sukcesis parte ĉerpi la ŝlosilon de Xperia X10 kun Android, sed ili certigis, ke ili povas fari tion, kaj citis alian teamon de esploristoj, kiuj trovis simila vundebleco en Android-versio de la kripta biblioteko BouncyCastle.

Sed ne disvastigu panikon. Kvankam ili klarigas, ke ĝi povas esti farita proksime al aparato uzante unu el la vundeblaj aplikoj, ni ne povas diri, ke estas facile fari ĉion necesan por ĉerpi ĉi tiujn ŝlosilojn. Lin normala estus, ke ili havas fizikan aliron al la aparato, io simila al ĉiuj manieroj "haki" la aparaton. Tuŝu ID kiuj ekzistas. Kompreneble, kiel ĉiam, la plej bona afero pri sekureco estas ĉiam havi la plej novan version de la mastruma sistemo uzata de nia aparato instalita.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeca pri la datumoj: AB Internet Networks 2008 SL
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.