Ερευνητές από το Πανεπιστήμιο του Duisburg-Essen ανέπτυξαν μια τεχνική που καθιστά δυνατή για πρώτη φορά
Το SGX είναι μια δημοφιλής τεχνολογία που χρησιμοποιείται γιαπροστασία των εμπιστευτικών δεδομένων. Με αυτό, οι προγραμματιστές μπορούν να προστατεύσουν μια συγκεκριμένη περιοχή της μνήμης από τον υπόλοιπο υπολογιστή. Για παράδειγμα, σε μια τέτοια αποκλειστική ζώνη, είναι ασφαλές να εκτελείται ένας διαχειριστής κωδικών πρόσβασης ακόμη και σε έναν μολυσμένο υπολογιστή, εξηγούν οι συντάκτες της μελέτης.
Το Fuzzing testing χρησιμοποιεί είσοδομεγάλος όγκος προγράμματος δεδομένων για να πάρετε μια ιδέα για τη δομή και την ποιότητα του κώδικα. Αυτή η μέθοδος επιτρέπει την αυτοματοποιημένη ή ημιαυτόματη δοκιμή για τον γρήγορο εντοπισμό των τρωτών σημείων. Η δυσκολία με αυτήν την προσέγγιση είναι ότι το fuzzing απαιτεί ένθετες δομές δεδομένων που πρέπει να ανακατασκευαστούν από τον κώδικα προστατευμένης περιοχής.
Δεδομένου ότι οι θύλακες δεν έχουν σχεδιαστεί για ενδοσκόπηση, είναι δύσκολο να εφαρμοστεί το fuzzing σε αυτούς.
Tobias Klouster, ειδικός σε θέματα ασφάλειας στο Πανεπιστήμιο του Duisburg-Essen, συν-συγγραφέας της μεθοδολογίας δοκιμών
Οι ερευνητές αναφέρουν ότι τα κατάφεραναναλύστε θωρακισμένες περιοχές χωρίς πρόσβαση στον πηγαίο κώδικα και εντοπίστε πολλαπλές ευπάθειες σε λογισμικό κρίσιμο για την ασφάλεια.
Για παράδειγμα, όλα δοκιμασμέναπρογράμματα οδήγησης δακτυλικών αποτυπωμάτων, καθώς και πορτοφόλια κρυπτονομισμάτων. Οι χάκερ μπορούν να χρησιμοποιήσουν αυτά τα τρωτά σημεία για να διαβάσουν βιομετρικά δεδομένα ή να κλέψουν ολόκληρο το υπόλοιπο του αποθηκευμένου κρυπτονομίσματος.
Ειδικοί σε θέματα ασφάλειας έχουν ήδη ενημερώσει τις εταιρείες λογισμικού για τα τρωτά σημεία που εντοπίστηκαν.
Διαβάστε περισσότερα:
Το τηλεσκόπιο James Webb τράβηξε την πρώτη φωτογραφία του Δία: έχει 9 κινούμενους στόχους ταυτόχρονα
Οι φυσικοί βρήκαν ένα παγκόσμιο «ρολόι» στο διάστημα: είναι πιο ακριβή από τα ατομικά
Ένας τεράστιος κομήτης πέταξε δίπλα από τη Γη, αλλά έγινε μεγαλύτερος και κατευθύνθηκε προς τον Ήλιο