Sistemi i përsosur operativ nuk ekziston dhe është praktikisht e pamundur të krijoni një sistem që është 100% i sigurt. Kohët e fundit, studiuesit e sigurisë kanë arritur të kryejnë një sulm në pajisjet iOS dhe Android që vjedhin me sukses çelësat e kriptos përdoret për të mbrojtur Bitcoins, llogaritë Apple Pay dhe aktive të tjera me vlerë të lartë. shfrytëzoj Whatshtë ajo që kriptografët e quajnë sulm jo-invaziv i kanalit anësor dhe funksionon kundër Algoritmit Digital Signure Digital Curve Elliptic, një sistem kriptimi i përdorur gjerësisht sepse është shumë më i shpejtë se shumë sisteme të tjera të kriptimit.
Sulmi funksionon vendosja e një sondë pranë një pajisjeje celular ndërsa bën operacione kriptografike, në të cilën pikë një sulmues mund të masë mjaftueshëm rrezatime magnetike për të nxjerrë plotësisht çelësin sekret që identifikon të dhënat e përdoruesit përfundimtar ose transaksionet përfundimtare. Për më tepër, mund të bëhet nëse keni qasje fizike në terminal, në këtë rast duke lidhur një përshtatës në kabllon e karikimit USB.
Një sulmues mund të masë këto efekte fizike në mënyrë jo invazive duke përdorur një sondë magnetike $ 2 të vendosur pranë pajisjes, ose me një adaptor të improvizuar USB të lidhur me kabllon USB të telefonit dhe një kartë të shëndoshë USB. Me këto masa, ne ishim në gjendje të nxjerrim plotësisht çelësat e nënshkrimit të fshehtë OpenSSL dhe CoreBitcoin në pajisjet iOS. Ne gjithashtu tregojmë dalje të pjesshme të çelësit nga OpenSSL që funksionon në Android dhe iOS CommonCrypto.
Android është gjithashtu i prekshëm nga ky sulm
iOS 9 nuk është më i prekshëm Ky sulm për shkak të sigurisë së shtuar në versionin e ri që parandalon sulmet e kanaleve anësore, por edhe përdoruesit që kanë të instaluar versionin më të fundit të sistemit operativ celular të Apple mund të jenë në rrezik në varësi të aplikacionit të palës së tretë që ne përdorim. Një aplikacion i prekshëm iOS është CoreBitcoin, pasi ai përdor implementimin e tij kriptografik dhe jo bibliotekën iOS CommonCrypto. Zhvilluesit e CoreBitcoin u thanë studiuesve se ata kishin në plan të zëvendësonin bibliotekën e tyre aktuale kripto me një që nuk është e prekshme nga ky sulm. Versioni i fundit i Bitcoin Core është jashtë pyllit.
Nga ana tjetër, studiuesit gjithashtu thanë se ata arritën të nxirrnin pjesërisht çelësin nga një Xperia X10 me Android, por ata siguruan që mund ta bënin këtë dhe cituan një ekip tjetër studiuesish që gjetën një dobësi të ngjashme në versionin Android nga biblioteka kriptografike BouncyCastle.
Por mos përhap panik. Megjithëse ata shpjegojnë se mund të bëhet ndërsa jeni afër një pajisjeje kur përdorni një nga aplikacionet e prekshme, nuk mund të themi se është e lehtë të bësh gjithçka që është e nevojshme për të nxjerrë këto çelësa. Gjëja normale do të ishte që ata të kenë qasje fizike në pajisje, diçka e ngjashme me të gjitha mënyrat e "piraterisë" Touch ID që ekzistojnë. Sigurisht, si gjithmonë, më e mira për sa i përket sigurisë është që gjithmonë të keni të instaluar versionin më të fundit të sistemit operativ të përdorur nga pajisja jonë.
