完美的操作系統不存在,幾乎不可能創建100%安全的操作系統。 最近,安全研究人員設法進行了一項 在iOS和Android設備上攻擊 這 成功竊取加密密鑰 用於保護比特幣,Apple Pay帳戶和其他高價值資產。 這 利用 這就是密碼學家所說的非侵入式側信道攻擊,它與橢圓曲線數字簽名算法(橢圓曲線數字簽名算法)協同工作,該算法由於比許多其他加密系統要快得多而被廣泛使用。
攻擊有效 將探頭放在設備附近 在進行加密操作時可以移動,這時攻擊者可以測量足夠的磁輻射來完全提取識別最終用戶數據或最終交易的秘密密鑰。 此外,如果您可以物理訪問終端,也可以這樣做,在這種情況下,可以通過將適配器連接到USB充電電纜來實現。
攻擊者可以使用放置在設備附近的$ 2磁性探針,或通過將臨時USB適配器連接到手機的USB電纜和USB聲卡,以非侵入方式測量這些物理效應。 通過這些措施,我們能夠在iOS設備上完全提取OpenSSL和CoreBitcoin秘密簽名密鑰。 我們還顯示了在Android上運行的OpenSSL和在iOS上運行的CommonCrypto的部分密鑰輸出。
Android也容易受到這種攻擊
iOS 9不再脆弱 這種攻擊是由於新版本中增加了安全性而導致的,該安全性可以防止邊通道攻擊,但是,即使安裝了最新版本的Apple移動操作系統的用戶也可能面臨危險,具體取決於我們使用的第三方應用程序。 一個易受攻擊的iOS應用程序是CoreBitcoin,因為它使用自己的加密實現而不是iOS CommonCrypto庫。 CoreBitcoin開發人員告訴研究人員,他們計劃用不容易受到這種攻擊的庫替換其當前的加密庫。 最新版本的Bitcoin Core出乎人們的意料。
另一方面,研究人員還表示,他們設法從裝有Android的Xperia X10中部分提取了密鑰,但他們保證可以這樣做,並引述了另一組研究人員,他們發現了 Android版本中的類似漏洞 來自BouncyCastle密碼庫。
但不要散佈恐慌。 儘管他們解釋說,當使用其中一個易受攻擊的應用程序時,可以在靠近設備的情況下完成此操作,但我們不能說輕鬆地完成提取這些密鑰所必需的一切。 正常情況是他們可以物理訪問設備,這與“黑客”設備的所有方式類似。 觸摸ID 存在。 當然,一如既往,就安全性而言,最好的做法是始終安裝我們設備使用的最新版本的操作系統。