Pre zlepšovanie vášho zážitku na našich stránkach používame cookies. OK

Nový koncept útoku: Vedci hackli telefón položený na stole

Pokusy zločincov o získanie citlivých informácií z mobilných telefónov nemusia byť iba softvérové.

Tím vedcov z Telavivskej univerzity vytvoril nový koncept útoku, ktorým dokázal zo smartfónu ukradnúť šifrovacie kľúče. Cieľové zariadenie stačí nechať položené na nedôveryhodnom mieste, napríklad na stole v kaviarni a hacker môže získať citlivé informácie. Na výskum upozornil server techworm.net.

Bežne známe typy útokov sa najčastejšie spoliehajú na škodlivé aplikácie, ktoré si používateľ stiahne do zariadenia vedome alebo nevedome. Pokročilejší hackeri vytvoria falošný prístupový bod a monitorujú, respektíve manipulujú s dátovou prevádzkou.

Špehovať dokáže malá cievka

Bezpečnostní experti sa však v poslednej dobe začínajú venovať aj takzvanému útoku postranným kanálom. S využitím tejto techniky a zariadeniami za pár eur boli schopný prelomiť podpisový algoritmus ECDSA. Ide o štandard, ktorý je využívaný v mnohých mobilných aplikáciách, vo virtuálnej peňaženke pre menu Bitcoin a rovnako sa naň spolieha aj služba Apple Pay.

Útok postranným kanálom je v kryptografii definovaný ako pokus o zneužitie informácii, ktoré unikajú priamo z fyzickej implementácie systému počas spusteného kryptografického algoritmu.

V tomto prípade ide konkrétne o elektromagnetickú analýzu, ktorá vychádza z predpokladu, že zmeny prúdov pri činnosti zariadenia generujú striedavé magnetické pole. Ak je toto pole dostatočne silné, môže byť zachytené a analyzované.

Indukčná cievka zachytáva elektromagnetické pole smartfónu (zdroj: www.cs.tau.ac.il) 4fotografie v galérii Indukčná cievka zachytáva elektromagnetické pole smartfónu (zdroj: www.cs.tau.ac.il)

V priebehu demonštračného útoku bol do blízkosti elektromagnetickej sondy umiestnený smartfón iPhone 4, na ktorom prebiehali kryptografické operácie. Indukčná cievka vytvára veľmi malý, neustále sa meniaci prúd, ktorý je generovaný elektromagnetickým poľom smartfónu.

Ukážka analýzy signálu (zdroj: www.cs.tau.ac.il) 4fotografie v galérii Ukážka analýzy signálu (zdroj: www.cs.tau.ac.il)

Zachytený signál je zosilnený a následne privedený na zvukovú kartu, ktorá ho zdigitalizuje a vytvorí časový priebeh vhodný na podrobnú analýzu. Na jej základe boli vedci schopný získať kľúče z kryptografických knižníc OpenSSL, iOS CommonCrypto, CoreBitcoin a BitcoinCore.

Pokračovanie článku pod reklamou videoreklama

Komplikované ale nie nereálne

. 4 . 4

Demonštrácia útoku na zariadenia s Androidom a iOS (zdroj: www.cs.tau.ac.il)

Na útok sú náchylné staršie verzie iOS 7.1.2 až 8.3. Súčasná verzia iOS 9.x obsahuje voči tomuto typu útoku ochranu. V prípade operačného systému Android je situácia podobná, pričom na úspešné získanie kľúčov bolo potrebné špeciálne laboratórne vybavenie. Samotné aplikácie využívajúce niektoré z ohrozených knižníc však chránené nemusia byť.

Vedci priznávajú, že uskutočnenie podobného útoku je v súčasnosti relatívne komplikované. Na rekonštrukciu šifrovacích kľúčov je potrebných niekoľko tisíc ECDSA podpisov, ktoré by za špecifických okolností mohli byť dosiahnuteľné. Ak by však hackeri mali správnu technológiu, dostatok času a vhodný softvér, drvivá väčšina zariadení útoku neodolá.

Zaregistrujte si svoju e-mailovú adresu na denný odber aktuálnych článkov.
Živé.sk a MobilMania.sk e-mailom Zaregistrujte si svoju e-mailovú adresu na denný odber aktuálnych článkov.
Nesprávny formát e-mail adresy
Váš e-mail bol úspešne zaregistrovaný.
Pre dokončenie prosím kliknite na odkaz v e-maili, ktorý ste obdržali na Vami zadanú e-mailovú adresu.
ŽIVÉ.SK A MOBILMÁNIA.SK MAILOM Potvrdením tohto políčka súhlasíte so zasielaním informačných e-mailov spoločnosti Azet.sk, a.s., v súlade s platnou slovenskou legislatívou. Veľkosť jednotlivých správ neprekročí 80 kB. Pokiaľ bude správa vo formáte HTML, budú grafické prvky uložené na našom serveri a nebudú zahrnuté do tela e-mailu.   Prihlásiť sa na odber newsletteru
Nájdete nás aj na:
© Ringier Axel Springer Slovakia, a.s. Autorské práva sú vyhradené a vykonáva ich
prevádzkovateľ portálu. Spravodajská licencia vyhradená.