软件应用

找论坛
purpleninja
Lv17 太平洋舰队副司令
太平洋舰队副司令 贡献28951,距离下一级还需11049贡献
水 王 斑竹专用 龙年勋章
楼主
2016-03-10 16:58 0 5 只看楼主
电梯直达 
[ 本主题由 银始海 于 2016-07-14 12:25:56 设为精华1,原因:主题新颖 ]

作者:FreeBuf. 来源:ZD至顶网安全频道 2016年03月09日




评论


与电脑不同的是,手机中存着用户的各种类型信息,包括邮箱、个人敏感信息、银行信息等等。基于此,黑客们已经悄无声息的将他们的攻击方向转移到了移动平台上。
安全研究员们每周都会新发现一些iOS平台的exp或者安卓平台的exp,但是最近有安全团队发现一个exp可同时利用iOS和安卓两个平台。
由以色列特拉维夫大学、以色列理工学院、澳大利亚阿德雷德大学组成的安全研究团队发现了一种攻击方法,能窃取手机上保护比特币钱包、Apple Pay账户以及其他敏感服务的密钥,安卓系统和iOS系统的手机均受影响。
该团队之前研究出了很多入侵电脑和窃取数据的方法。上周,该团队刚刚研究出了从气隙电脑中窃取敏感数据(气隙电脑是指位于一个封闭空间,不连接网络的电脑)。去年,他们还演示了通过一个无线电接收器和一块披萨饼从电脑中窃取解密密钥;还演示只触摸电脑底架就能窃取密钥。
侧信道攻击
最近发现的这个exp是一个不具有攻击性的侧信道攻击:通过分析内存利用模式或者分析解密过程中设备发出的电磁输出来窃取系统的加密密钥。这种攻击针对的是椭圆曲线数字签名算法(ECDSA)——一个标准的数字签名算法,广泛应用于比特币钱包和Apple Pay等应用中,速度明显快于其他加密系统。
怎样窃取加密密钥?
被测试的是一部iPhone 4,当手机正在进行加密操作时,研究员在手机周围放置了一个2美元的磁探针。经测试发现,周围散发着足够多的电磁,完全能够窃取验证终端用户敏感数据和金融信息的密钥。
评论


还可以发现另外一种攻击方法,用一个USB适配器连接到手机的USB电缆,然后用USB声卡捕捉信号。
“用这些方法,我们可以从iOS设备上的OpenSSL和CoreBitcoin窃取签名密钥,另外还发现了部分从安卓设备OpenSSL和iOS设备 CommonCrypto上泄露的密钥。”
安全研究员们还在Sony-Ericsson Xperia X10 手机(安卓版)上试验了他们的exp,结果是攻击可行的。
入侵行为需要攻击者物理控制,或者至少接近一个磁探针或者电缆。一个易受攻击的移动设备只要能执行足够多的任务,就能找出上千个ECDSA签名。
共享窃取密钥的技术报告[PDF]
受影响的设备
iOS系统7.1.2至8.3版本易受侧信道攻击,而iOS系统9.x版本中有对抗侧信道攻击的方法,所以不受影响。
但是对于iPhone和iPad用户来说就不那么幸运了,只要他们安装了易受攻击的APP,比如CoreBitcoin, 就无法避免被攻击。
OpenSSL1.0.x和1.1.x版本也易受攻击。

山秀誘得佳麗醉
Lv17
太平洋舰队副司令 贡献38779,距离下一级还需1221贡献
2016-03-21 07:16
只看该作者
沙发
受精了!!!
lagebo
Lv17
太平洋舰队副司令 贡献39291,距离下一级还需709贡献
斑竹专用 龙年勋章 熊熊 万人迷 热心版主 版主功勋
2016-03-21 17:15
只看该作者
板凳
可怕
签名档
成功的男人白天贼JB忙,晚上JB贼忙;失败的男人白天没啥鸟事,晚上鸟没啥事。所以我要做成功的男人。
胖猪猪
Lv1
太平洋舰队新兵 贡献9,距离下一级还需71贡献
2016-04-02 14:43
只看该作者
地板
老夫子
Lv15
太平洋舰队秘书长 贡献9590,距离下一级还需410贡献
海豚教超级粉丝
2016-07-19 16:38
只看该作者
地下室
一小块薄铁皮和紫铜片就可以破解攻击了。
签名档
艰难的走下去 , 并不是因为前景灿烂 。 雁渡寒潭,风过竹林 。金钱只是符号,幸福是心的感觉 。 前方无路的时候,或许路在后面 。左右为难的时候,可能上下是通途 。 不以物喜,不以己悲 。不去害人,不被人害 。宠辱不惊,相忘江湖 。
VX-k57257k
Lv1
太平洋舰队新兵 贡献19,距离下一级还需61贡献
2018-02-12 12:39
只看该作者
6楼
不知道真假

您需要登录后才可以发帖 登录 | 立即注册

其他登录方式:

常用表情
太平洋电脑网论坛帖子仅代表作者本人意见,不代表网站立场。请勿轻信特价、汇款、中奖等信息,
请勿轻易透露个人资料,因此产生的一切后果,PConline不承担任何责任
回复 发新帖 找论坛 反馈 回顶部