Обнаружена атака на боковые сигналы смартфонов

Обнаружена атака на боковые сигналы смартфонов

Специалистами в области кибербезопасности (Технологический институт Джорджии) закрыта уязвимость, позволявшая хакерам получать ключи шифрования, используемые популярным пакетом безопасности. Как выяснилось, проблема заключалась в непреднамеренных сигналах «бокового канала» смартфонов.

Принципы безопасности на службе хакеров

Атакующими хакерами могли использоваться принципы программирования, которые по иронии судьбы предназначалось для обеспечения большей безопасности. Взломщики перехватывают электромагнитные сигналы от телефонов.

Полученные сигналы достаточно просто анализируются с помощью небольшого портативного устройства стоимостью менее $1000. В отличие от предыдущих попыток перехвата, которые требовали анализа многих логинов, атака «One & Done» выполнялась путем прослушивания только одного цикла дешифрования.

Считается, что атака бокового канала является способом получения секретного показателя ключа шифрования, впервые применимого в современной версии OpenSS без организации и / или синхронизации кеша.

Пакет OpenSSL — популярный инструмент шифрования, используемый для безопасного взаимодействия на веб-сайтах и аутентификации подписи. Между тем хакерская атака показала, что одной записи криптографического ключа вполне достаточно, чтобы разбить 2048 бит частного ключа RSA.

После успешной атаки на телефоны, встроенные системные платы которых построены на процессорах ARM структуры, специалисты предложили исправить уязвимость, обнаруженную в версиях программного обеспечения, выпущенного в мае.

Атаки на боковых каналах извлекают конфиденциальную информацию из сигналов, создаваемых электронной активностью в вычислительных устройствах во время нормальной работы.

Эти сигналы включают в себя электромагнитные эманации, создаваемые потоками тока в вычислительной и электрической схемах устройств, изменение энергопотребления, а также изменение звука и температуры чипа. Эти эманации сильно отличаются от сигналов связи.

Атака «One & Done» анализирует сигналы в относительно узкой полосе частот 40 МГц вокруг тактовых частот процессора телефонов, которые близки к 1 ГГц (1000 МГц).

Исследователи разработали принцип единообразия в программировании, который будет использован для преодоления более ранней уязвимости, связанной с вариациями в работе программ.

Тестирование программ на фактор уязвимости

Сейчас специалистами тестируется другое программное обеспечение, которое может иметь сходные уязвимости. Инженеры рассчитывают разработать программу, которая позволит автоматизировать анализ обнаруженной уязвимости безопасности.

Производителям мобильных устройств специалисты рекомендуют осознать необходимость защиты электромагнитных сигналов телефонов, планшетов и ноутбуков от перехвата защитой утечки боковых каналов.

Также важно улучшить программное обеспечение, работающее на мобильных устройствах. Свою роль в обеспечении безопасности должны исполнять и пользователи мобильных устройств.


На основе информации: Gatech


Добавить комментарий

Внимание: Спам не пройдёт. Работает фильтрация комментариев. *