Biztonsági kutatók egy olyan sebezhetőségre hívják fel a figyelmet, melyet kihasználva a kommunikáció titkosításáért és a felhasználók hitelességi azonosításáért felelős titkosítási kulcs megszerezhető pusztán a mobileszköz elektromos energiafogyasztása és elektromágneses kisugárzása alapján. A differenciális teljesítményelemzés (DPA, differential power analysis) néven ismert támadási metódus lényege, hogy a megfelelő berendezések birtokában az eszköz elektromos aktivitásából, fejlett statisztikai módszerekkel kikövetkeztethető a processzor által elvégzett művelet, így felfedhető maga a titkosítási kulcs is. Vagyis, miközben a chip a titkosítási metódust végzi, a kulcsot gyakorlatilag kiszivárogtathatja egy harmadik félnek, aki a légből kapott információt befogva, értelmezve és felhasználva privát adatokhoz férhet hozzá.
Az efféle típusú támadások már bő tíz éve ismertek, akkor főként pénztárgépek termináljainak manipulálására hegyeződtek ki, de később hasonló jellegű problémák merültek fel USB-tokenekkel és chipkártyákkal kapcsolatban – mondta a Cnetnek Benjamin Jun, a Cryptography Research biztonságtechnikai vállalat technológiai megoldásokért felelős alelnöke. A készülékben lévő chip által kibocsátott elektromágneses sugárzását mérő speciális műszerrel vagy az eszköz tápegységére csatlakoztatott szenzor segítségével foghatjuk be a kívánt jeleneket.
Elképzelhető például egy olyan szituáció, melyben a gyanútlan áldozattól pár lépésnyire tartózkodó kém csupán néhány perc alatt megszerzi és kikövetkezteti a készülék titkosítási kulcsát, majd ezt reprodukálva hozzáférhet a célszemély e-mailjeihez, vagy online tranzakciókat indíthat az áldozat nevében – figyelmeztetett Jun. A szakember ugyan nem nevezett nevén egyetlen készüléket sem, csak általánosságokban beszélt okostelefonokról és PDA-król, mint potenciálisan szivárgó mobileszközökről. „Úgy vélem, rövidesen találkozhatunk ilyen támadásokkal, ezek nem csupán elméleti síkon létezhetnek” – tette hozzá.
A DPA-típusú attak elleni védekezéssel kapcsolatban két metódust említettet Jung: véletlenszerűen generált zajt csempészhetünk a kisugárzott jelbe, illetve a chip által végzett számítások folyamatokat módosíthatjuk.
Szivárog a mobileszközök titkosítási kulcsa
- Írta: Ifj. Zettner Tamás
- Forrás: Cnet
Azóta történt
-
Amikor az életed a tét
Rendkívül tanulságos IT-biztonsági történet megdöbbentő hanyagságról, hozzá nem értésről és valódi szakemberekről.
Társadalom 49
-
RSA-támadás: árulkodó hibák
Kutatók egy újfajta módszerrel, irányítottan előidézett számítási hibákra és az OpenSSL egyik hiányosságára támaszkodva vissza tudtak fejteni egy 1024 bites RSA-kulcsot.
Tech 2
Előzmények
-
Ne adja ki a feltöltőkártya kódját!
A három hazai mobilszolgáltató közös közleményben figyelmeztet.
Távközlés 23
-
Nem lesz többé privát csevej a mobilon
Csupán hónapok kérdése, és fel fogják törni a mobiltelefonos kommunikáció titkosításáért felelős egyik algoritmust – állítja a kódtörő programot életre hívó hacker.
Tech 35
-
Hogyan szerezhetjük meg könnyedén egy Gmail-fiók jelszavát?
A Twitter-hack története arra mutat rá, hogy az internet mai állapotában a jelenlegi biztonsági protokollok messze nem elegendőek.
Biztonság 79
Percről percre
ma 1500 watt összeteljesítményű biciklit kaptunk tesztre, amely a legalitás összes határán túl van, kontrollálni nem könnyű, de néha óriási élmény is.
ph A Nitro sorozatban több, vásárlásra ajánlott notebookot is láttunk már, most az egyik legújabb modellt próbáltuk ki.
ma Érdekes egyveleg a középső Edge 50: a jó tulajdonságai közé becsúszott pár rossz, de vannak szerethető, egyedi megoldásai is.
gp Tíz éven át készült bábfilm elevenedik meg a képernyőkön – egy bábfilm, egy leegyszerűsített kalandjáték, és mindenek felett egy mese a boldogság kereséséről.
ma Idén az olcsóbb A-szériás modell sikerült jobban a Samsungnak, keveset kell feláldoznia annak, aki az A55 helyett az A35-öt választja.