Дослідники з Університету Дуйсбург-Ессен розробили методику, яка вперше дозволяє проводити
SGX - популярна технологія, що використовується длязахисту конфіденційних даних За допомогою неї розробники можуть захистити певну область пам'яті від решти комп'ютера. Наприклад, у такій виділеній зоні можна безпечно запускати менеджер паролів навіть на зараженому комп'ютері, пояснюють автори дослідження.
Тестування за допомогою фаззингу використовує введення впрограму великої кількості даних, щоб отримати уявлення про структуру та якість коду. Цей метод дозволяє проводити автоматизоване або напівавтоматизоване тестування, щоб швидко виявляти вразливість. Складність цього підходу полягає в тому, що фазинг потребує вкладених структур даних, які необхідно реконструювати з коду захищеної області.
Оскільки анклави не призначені для самоаналізу, до них важко застосувати фазинг.
Тобіас Клоустер, експерт з безпеки з Університету Дуйсбург-Ессен, співавтор методики тестування
Дослідники повідомляють, що їм удалосяпроаналізувати екрановані області без доступу до вихідного коду та виявити безліч вразливостей у критично важливому для безпеки програмному забезпеченні.
Наприклад, торкнулися всі протестованідрайвери відбитків пальців, а також гаманці для зберігання криптовалюти. Хакери можуть використовувати ці вразливості для зчитування біометричних даних або крадіжки всього залишку криптовалюти, що зберігається.
Експерти з безпеки вже поінформували компанії-розробники програмного забезпечення про знайдені вразливості.
Читати далі:
Телескоп «Джеймс Вебб» зробив перший знімок Юпітера: на ньому відразу 9 цілей, що рухаються.
Фізики знайшли універсальний «годинник» у космосі: він точніший за атомний.
Величезна комета пролетіла повз Землю, але стала більше і попрямувала до Сонця