Det perfekta operativsystemet finns inte och det är praktiskt taget omöjligt att skapa ett som är 100% säkert. Nyligen har säkerhetsforskare lyckats genomföra en attack på iOS- och Android-enheter que lyckas stjäla kryptografiska nycklar används för att skydda Bitcoins, Apple Pay-konton och andra värdefulla tillgångar. De exploatera Det är vad kryptografer kallar en icke-invasiv sidkanalattack och det fungerar mot Elliptic Curve Digital Signature Algorithm, ett krypteringssystem som används i stor utsträckning eftersom det är mycket snabbare än många andra krypteringssystem.
Attacken fungerar sätta en sond nära en enhet mobil medan de gör kryptografiska operationer, vid vilken tidpunkt en angripare kan mäta tillräckligt med magnetiska utstrålningar för att helt extrahera den hemliga nyckeln som identifierar slutanvändarens data eller avslutar transaktioner. Dessutom kan det göras om du har fysisk tillgång till terminalen, i det här fallet genom att ansluta en adapter till USB-laddningskabeln.
En angripare kan mäta dessa fysiska effekter icke-invasivt med en $ 2 magnetisk sond placerad nära enheten eller med en provisorisk USB-adapter ansluten till telefonens USB-kabel och ett USB-ljudkort. Med dessa åtgärder kunde vi helt extrahera OpenSSL och CoreBitcoin hemliga signaturnycklar på iOS-enheter. Vi visar också partiell nyckelutmatning från OpenSSL som körs på Android och iOS CommonCrypto.
Android är också sårbart för denna attack
iOS 9 är inte längre sårbar Denna attack på grund av ökad säkerhet i den nya versionen som förhindrar sidokanalattacker, men även användare som har den senaste versionen av Apples mobiloperativsystem kan vara i fara beroende på vilken tredjepartsapplikation vi använder. En sårbar iOS-applikation är CoreBitcoin, eftersom den använder sin egen kryptografiska implementering och inte iOS CommonCrypto-biblioteket. CoreBitcoin-utvecklare berättade för forskarna att de planerade att ersätta sitt nuvarande kryptobibliotek med ett som inte är sårbart för denna attack. Den senaste versionen av Bitcoin Core är ur skogen.
Å andra sidan sa forskarna också att de lyckades extrahera nyckeln delvis från en Xperia X10 med Android, men de försäkrade att de kunde göra det och citerade ett annat forskargrupp som hittade en liknande sårbarhet i Android-versionen från det kryptografiska biblioteket BouncyCastle.
Men sprid inte panik. Även om de förklarar att det kan göras när man är nära en enhet när man använder en av de sårbara applikationerna, kan vi inte säga att det är lätt att göra allt som behövs för att extrahera dessa nycklar. Det normala skulle vara att de har fysisk tillgång till enheten, något som liknar alla sätt att "hacka" enheten. Rör ID som finns. Naturligtvis, som alltid, är det bästa när det gäller säkerhet att alltid ha den senaste versionen av operativsystemet som används av vår enhet installerat.
