Programátori objavili zraniteľné miesta v snímačoch odtlačkov prstov a krypto peňaženkách

Vedci z univerzity v Duisburgu-Essene vyvinuli techniku, ktorá to po prvýkrát umožňuje

fuzzy testovanie chránených pamäťových oblastí. Výskumníci používajú fuzzing na testovanie vybraných oblastí chránených technológiou Intel Software Guard Extension (SGX). 

SGX je populárna technológia používaná preochranu dôverných údajov. Pomocou neho môžu vývojári chrániť konkrétnu oblasť pamäte pred zvyškom počítača. Napríklad v takejto vyhradenej zóne je bezpečné spustiť správcu hesiel aj na infikovanom počítači, vysvetľujú autori štúdie.

Fuzzing testovanie využíva vstupveľké množstvo dátového programu na získanie predstavy o štruktúre a kvalite kódu. Táto metóda umožňuje automatizované alebo poloautomatické testovanie na rýchlu identifikáciu zraniteľností. Problémom tohto prístupu je, že fuzzing vyžaduje vnorené dátové štruktúry, ktoré je potrebné rekonštruovať z kódu chránenej oblasti.

Keďže enklávy nie sú určené na introspekciu, je ťažké na ne aplikovať fuzzing.

Tobias Klouster, bezpečnostný expert na Univerzite Duisburg-Essen, spoluautor metodiky testovania

Vedci uvádzajú, že sa im to podariloanalyzovať tienené oblasti bez prístupu k zdrojovému kódu a identifikovať viaceré zraniteľnosti v softvéri kritickom z hľadiska bezpečnosti.

Napríklad všetky testovanéovládače odtlačkov prstov, ako aj kryptomenové peňaženky. Hackeri môžu pomocou týchto zraniteľností čítať biometrické údaje alebo ukradnúť celý zostatok uloženej kryptomeny.

Bezpečnostní experti už informovali softvérové ​​spoločnosti o zistených zraniteľnostiach.

Čítaj viac:

Teleskop Jamesa Webba urobil prvú snímku Jupitera: ukazuje 9 pohyblivých cieľov naraz

Fyzici našli vo vesmíre univerzálne „hodiny“: sú presnejšie ako atómové

Okolo Zeme preletela obrovská kométa, no zväčšila sa a zamierila k Slnku