Serangan baru membolehkan mencuri kunci yang disulitkan dari Android dan versi lama iOS

keselamatan

Sistem operasi yang sempurna tidak wujud dan hampir mustahil untuk membuatnya yang 100% selamat. Baru-baru ini, penyelidik keselamatan berjaya menjalankan a menyerang pada peranti iOS dan Android bahawa berjaya mencuri kunci crypto digunakan untuk melindungi Bitcoin, akaun Apple Pay, dan aset bernilai tinggi yang lain. The mengeksploitasi Ini adalah apa yang disebut oleh kriptografer sebagai serangan saluran sampingan yang tidak invasif dan ia berfungsi melawan Algoritma Tanda Tangan Digital Elliptic Curve, sistem penyulitan yang banyak digunakan kerana ia jauh lebih pantas daripada banyak sistem penyulitan lain.

Serangan itu berjaya meletakkan probe berhampiran peranti bergerak semasa melakukan operasi kriptografi, pada ketika itu penyerang dapat mengukur pancaran magnetik yang cukup untuk mengekstrak kunci rahsia sepenuhnya yang mengenal pasti data atau transaksi akhir pengguna akhir. Selain itu, ini juga dapat dilakukan jika Anda memiliki akses fizikal ke terminal, dalam hal ini dengan menghubungkan penyesuai ke kabel pengisian USB.

Penyerang dapat mengukur kesan fizikal ini secara tidak invasif menggunakan probe magnetik $ 2 yang diletakkan di dekat peranti, atau dengan penyesuai USB sementara yang disambungkan ke kabel USB telefon dan kad suara USB. Dengan langkah-langkah ini, kami dapat mengekstrak sepenuhnya kunci tandatangan rahsia OpenSSL dan CoreBitcoin pada peranti iOS. Kami juga menunjukkan output kunci separa dari OpenSSL yang berjalan di Android dan CommonCrypto di iOS.

serangan kripto

Android juga rentan terhadap serangan ini

iOS 9 tidak lagi terdedah Serangan ini disebabkan oleh keamanan tambahan pada versi baru yang mencegah serangan saluran sampingan, tetapi bahkan pengguna yang memasang sistem operasi mudah alih versi terbaru Apple dapat berada dalam bahaya bergantung pada aplikasi pihak ketiga yang kami gunakan. Salah satu aplikasi iOS yang rentan adalah CoreBitcoin, kerana ia menggunakan pelaksanaan kriptografi sendiri dan bukan perpustakaan CommonCrypto iOS. Pembangun CoreBitcoin memberitahu para penyelidik bahawa mereka merancang untuk mengganti perpustakaan crypto mereka sekarang dengan yang tidak terdedah kepada serangan ini. Versi terbaru Bitcoin Core keluar dari hutan.

Sebaliknya, para penyelidik juga mengatakan bahawa mereka berjaya mengekstrak sebahagiannya dari Xperia X10 dengan Android, tetapi mereka memberi jaminan bahawa mereka dapat melakukannya dan memetik pasukan penyelidik lain yang menemui kerentanan yang serupa dalam versi Android dari perpustakaan kriptografi BouncyCastle.

Tetapi jangan menyebarkan rasa panik. Walaupun mereka menjelaskan bahawa ia dapat dilakukan ketika berada dekat dengan perangkat ketika menggunakan salah satu aplikasi yang rentan, kita tidak dapat mengatakan bahawa mudah melakukan semua yang diperlukan untuk mengekstrak kunci ini. Perkara biasa ialah mereka mempunyai akses fizikal ke peranti, sesuatu yang serupa dengan semua cara "menggodam" peranti. Touch ID yang ada. Sudah tentu, seperti biasa, yang terbaik dari segi keselamatan adalah selalu memasang versi terkini sistem operasi yang digunakan oleh peranti kami.


Anda berminat dengan:
Menurut Apple, ia adalah syarikat paling berkesan di dunia dalam bidang keselamatan
Ikuti kami di Google News

Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.