Savršen operativni sustav ne postoji i praktički je nemoguće stvoriti onaj koji je 100% siguran. Nedavno su istraživači sigurnosti uspjeli izvršiti a napad na iOS i Android uređaje ovo uspješno ukrali kripto ključeve koristi se za zaštitu Bitcoina, Apple Pay računa i druge vrijedne imovine. The iskorištavati To je ono što kriptografi nazivaju neinvazivnim napadom na bočni kanal i djeluje protiv algoritma digitalnog potpisa eliptičke krivulje, sustava šifriranja koji se široko koristi jer je puno brži od mnogih drugih sustava šifriranja.
Napad djeluje stavljajući sondu blizu uređaja mobilni dok obavlja kriptografske operacije, u kojem trenutku napadač može izmjeriti dovoljno magnetskih emanacija da u potpunosti izvadi tajni ključ koji identificira podatke krajnjeg korisnika ili transakcije. Osim toga, to se može učiniti i ako imate fizički pristup terminalu, u ovom slučaju spajanjem adaptera na USB kabel za punjenje.
Napadač može ove fizičke učinke neinvazivno izmjeriti pomoću magnetske sonde od 2 dolara postavljene u blizini uređaja ili pomoću improviziranog USB adaptera spojenog na USB kabel telefona i USB zvučnu karticu. Ovim mjerama uspjeli smo u potpunosti izvući OpenSSL i CoreBitcoin tajne ključeve s potpisima na iOS uređajima. Također prikazujemo djelomični izlaz ključa iz OpenSSL-a koji radi na Androidu i iOS CommonCrypto.
Android je također ranjiv na ovaj napad
iOS 9 više nije ranjiv Ovaj napad zbog dodatne sigurnosti u novoj verziji koja sprječava napade bočnih kanala, ali čak i korisnici koji imaju instaliranu najnoviju verziju Appleova mobilnog operativnog sustava mogu biti u opasnosti, ovisno o aplikaciji treće strane koju koristimo. Jedna od ranjivih iOS aplikacija je CoreBitcoin, jer koristi vlastitu kriptografsku implementaciju, a ne iOS CommonCrypto knjižnicu. Programeri CoreBitcoin rekli su istraživačima da planiraju zamijeniti svoju trenutnu kripto biblioteku onom koja nije ranjiva na ovaj napad. Najnovija verzija Bitcoin Core je izvan šume.
S druge strane, istraživači su također rekli da su uspjeli djelomično izvući ključ iz Xperije X10 s Androidom, ali uvjeravali su da to mogu učiniti i citirali su drugi tim istraživača koji je pronašao slična ranjivost u verziji Androida iz kriptografske knjižnice BouncyCastle.
Ali nemojte širiti paniku. Iako objašnjavaju da se to može učiniti dok je u blizini uređaja kada se koristi jedna od ranjivih aplikacija, ne možemo reći da je lako učiniti sve što je potrebno za izdvajanje ovih tipki. Normalno bi bilo da imaju fizički pristup uređaju, nešto slično svim načinima "hakiranja" uređaja. dirati ID koji postoje. Naravno, kao i uvijek, najbolje je u sigurnosnom smislu uvijek imati instaliranu najnoviju verziju operativnog sustava koji koristi naš uređaj.
