Biztonsági kutatók egy olyan sebezhetőségre hívják fel a figyelmet, melyet kihasználva a kommunikáció titkosításáért és a felhasználók hitelességi azonosításáért felelős titkosítási kulcs megszerezhető pusztán a mobileszköz elektromos energiafogyasztása és elektromágneses kisugárzása alapján. A differenciális teljesítményelemzés (DPA, differential power analysis) néven ismert támadási metódus lényege, hogy a megfelelő berendezések birtokában az eszköz elektromos aktivitásából, fejlett statisztikai módszerekkel kikövetkeztethető a processzor által elvégzett művelet, így felfedhető maga a titkosítási kulcs is. Vagyis, miközben a chip a titkosítási metódust végzi, a kulcsot gyakorlatilag kiszivárogtathatja egy harmadik félnek, aki a légből kapott információt befogva, értelmezve és felhasználva privát adatokhoz férhet hozzá.
Az efféle típusú támadások már bő tíz éve ismertek, akkor főként pénztárgépek termináljainak manipulálására hegyeződtek ki, de később hasonló jellegű problémák merültek fel USB-tokenekkel és chipkártyákkal kapcsolatban – mondta a Cnetnek Benjamin Jun, a Cryptography Research biztonságtechnikai vállalat technológiai megoldásokért felelős alelnöke. A készülékben lévő chip által kibocsátott elektromágneses sugárzását mérő speciális műszerrel vagy az eszköz tápegységére csatlakoztatott szenzor segítségével foghatjuk be a kívánt jeleneket.
Elképzelhető például egy olyan szituáció, melyben a gyanútlan áldozattól pár lépésnyire tartózkodó kém csupán néhány perc alatt megszerzi és kikövetkezteti a készülék titkosítási kulcsát, majd ezt reprodukálva hozzáférhet a célszemély e-mailjeihez, vagy online tranzakciókat indíthat az áldozat nevében – figyelmeztetett Jun. A szakember ugyan nem nevezett nevén egyetlen készüléket sem, csak általánosságokban beszélt okostelefonokról és PDA-król, mint potenciálisan szivárgó mobileszközökről. „Úgy vélem, rövidesen találkozhatunk ilyen támadásokkal, ezek nem csupán elméleti síkon létezhetnek” – tette hozzá.
A DPA-típusú attak elleni védekezéssel kapcsolatban két metódust említettet Jung: véletlenszerűen generált zajt csempészhetünk a kisugárzott jelbe, illetve a chip által végzett számítások folyamatokat módosíthatjuk.
Szivárog a mobileszközök titkosítási kulcsa
- Írta: Ifj. Zettner Tamás
- Forrás: Cnet
Azóta történt
-
Amikor az életed a tét
Rendkívül tanulságos IT-biztonsági történet megdöbbentő hanyagságról, hozzá nem értésről és valódi szakemberekről.
Társadalom 49
-
RSA-támadás: árulkodó hibák
Kutatók egy újfajta módszerrel, irányítottan előidézett számítási hibákra és az OpenSSL egyik hiányosságára támaszkodva vissza tudtak fejteni egy 1024 bites RSA-kulcsot.
Tech 2
Előzmények
-
Ne adja ki a feltöltőkártya kódját!
A három hazai mobilszolgáltató közös közleményben figyelmeztet.
Távközlés 23
-
Nem lesz többé privát csevej a mobilon
Csupán hónapok kérdése, és fel fogják törni a mobiltelefonos kommunikáció titkosításáért felelős egyik algoritmust – állítja a kódtörő programot életre hívó hacker.
Tech 35
-
Hogyan szerezhetjük meg könnyedén egy Gmail-fiók jelszavát?
A Twitter-hack története arra mutat rá, hogy az internet mai állapotában a jelenlegi biztonsági protokollok messze nem elegendőek.
Biztonság 79
Percről percre
gp A Ubisoft évek óta készül arra, hogy belépjen a gyors iramú hero shooterek piacára is: sok félbehagyott rivális és megannyi halasztás után megjelent végre a fura nevű xDefiant.
ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.
gp A Hammer95 első játékában a mesterséges intelligencia találkozik a szintipoppal, a 80-as évek hajviseletével, és rengeteg vérontással.
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs