Naukowcy z Uniwersytetu Duisburg-Essen opracowali technikę, która po raz pierwszy umożliwia przeprowadzenie
SGX to popularna technologia używana doochrona poufnych danych. Dzięki niemu programiści mogą chronić określony obszar pamięci przed resztą komputera. Na przykład w tak wydzielonej strefie można bezpiecznie uruchomić menedżera haseł nawet na zainfekowanym komputerze – wyjaśniają autorzy badania.
Testowanie fuzzingu wykorzystuje dane wejściowe wduża ilość danych programu, aby zorientować się w strukturze i jakości kodu. Ta metoda pozwala na automatyczne lub półautomatyczne testowanie w celu szybkiej identyfikacji luk w zabezpieczeniach. Trudność w tym podejściu polega na tym, że fuzzing wymaga zagnieżdżonych struktur danych, które należy zrekonstruować z chronionego kodu obszaru.
Ponieważ enklawy nie są przeznaczone do introspekcji, trudno zastosować do nich fuzzing.
Tobias Klouster, ekspert ds. bezpieczeństwa na Uniwersytecie Duisburg-Essen, współautor metodologii testowania
Badacze informują, że byli w stanie przeanalizować chronione obszary bez dostępu do kodu źródłowego i zidentyfikować wiele luk w oprogramowaniu o krytycznym znaczeniu dla bezpieczeństwa.
Na przykład wszystkie przetestowanesterowniki linii papilarnych, a także portfele kryptowalut. Hakerzy mogą wykorzystać te luki do odczytywania danych biometrycznych lub kradzieży całego salda przechowywanej kryptowaluty.
Eksperci ds. bezpieczeństwa poinformowali już firmy produkujące oprogramowanie o znalezionych lukach.
Czytaj więcej:
Teleskop Jamesa Webba wykonał pierwsze zdjęcie Jowisza: pokazuje jednocześnie 9 ruchomych celów
Fizycy znaleźli uniwersalny „zegar” w kosmosie: są dokładniejsze niż atomowe
Ogromna kometa przeleciała obok Ziemi, ale stała się większa i skierowała się w stronę Słońca