完美的操作系统不存在,几乎不可能创建100%安全的操作系统。 最近,安全研究人员设法进行了一项 在iOS和Android设备上攻击 该 成功窃取加密密钥 用于保护比特币,Apple Pay帐户和其他高价值资产。 这 利用 这就是密码学家所说的非侵入式侧信道攻击,它与椭圆曲线数字签名算法(椭圆曲线数字签名算法)协同工作,该算法由于比许多其他加密系统要快得多而被广泛使用。
攻击有效 将探头放在设备附近 在进行加密操作时,移动设备可以移动,此时攻击者可以测量足够的磁辐射,以完全提取识别最终用户数据或最终交易的秘密密钥。 此外,如果您可以物理访问终端,也可以这样做,在这种情况下,可以通过将适配器连接到USB充电电缆来实现。
攻击者可以使用放置在设备附近的$ 2磁性探针,或通过将临时USB适配器连接到手机的USB电缆和USB声卡,以非侵入方式测量这些物理效应。 通过这些措施,我们能够在iOS设备上完全提取OpenSSL和CoreBitcoin秘密签名密钥。 我们还显示了在Android和iOS CommonCrypto上运行的OpenSSL的部分密钥输出。
Android也容易受到这种攻击
iOS 9不再脆弱 这种攻击是由于新版本中增加了安全性而导致的,该安全性可以防止边通道攻击,但是根据我们使用的第三方应用程序,即使安装了最新版本的Apple移动操作系统的用户也可能处于危险之中。 一个易受攻击的iOS应用程序是CoreBitcoin,因为它使用自己的加密实现而不是iOS CommonCrypto库。 CoreBitcoin开发人员告诉研究人员,他们计划用不容易受到这种攻击的库替换其当前的加密库。 最新版本的Bitcoin Core出乎人们的意料。
另一方面,研究人员还表示,他们设法从装有Android的Xperia X10中部分提取了密钥,但他们保证可以这样做,并引述了另一组研究人员,他们发现了 Android版本中的类似漏洞 来自BouncyCastle密码库。
但不要散布恐慌。 尽管他们解释说,当使用其中一个易受攻击的应用程序时,可以在靠近设备的情况下完成此操作,但我们不能说轻松地完成提取这些密钥所必需的一切。 正常情况是他们可以物理访问设备,这与“黑客”设备的所有方式类似。 触摸ID 存在。 当然,一如既往,就安全性而言,最好的做法是始终安装我们设备使用的最新版本的操作系统。
