Des chercheurs de l’Université de Duisburg-Essen ont mis au point une technique qui permet pour la première fois de réaliser
SGX est une technologie populaire utilisée pourprotection des données confidentielles. Avec lui, les développeurs peuvent protéger une zone spécifique de la mémoire du reste de l'ordinateur. Par exemple, dans une telle zone dédiée, il est sûr d'exécuter un gestionnaire de mots de passe même sur un ordinateur infecté, expliquent les auteurs de l'étude.
Les tests de fuzzing utilisent des entrées dansgrande quantité de programme de données pour avoir une idée de la structure et de la qualité du code. Cette méthode permet des tests automatisés ou semi-automatisés pour identifier rapidement les vulnérabilités. La difficulté avec cette approche est que le fuzzing nécessite des structures de données imbriquées qui doivent être reconstruites à partir du code de zone protégée.
Comme les enclaves ne sont pas conçues pour l'introspection, il est difficile de leur appliquer le fuzzing.
Tobias Klouster, expert en sécurité à l'Université de Duisburg-Essen, co-auteur de la méthodologie de test
Les chercheurs rapportent qu’ils ont été en mesure d’analyser les zones protégées sans accès au code source et d’identifier de nombreuses vulnérabilités dans les logiciels critiques pour la sécurité.
Par exemple, tous testéspilotes d'empreintes digitales, ainsi que des portefeuilles de crypto-monnaie. Les pirates peuvent utiliser ces vulnérabilités pour lire des données biométriques ou voler tout le solde de la crypto-monnaie stockée.
Les experts en sécurité ont déjà informé les éditeurs de logiciels des vulnérabilités découvertes.
Lire la suite:
Le télescope James Webb a pris la première photo de Jupiter : il montre 9 cibles mobiles à la fois
Les physiciens ont trouvé une "horloge" universelle dans l'espace : elles sont plus précises que l'atomique
Une énorme comète a survolé la Terre, mais est devenue plus grosse et s'est dirigée vers le Soleil