/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F1eb73816569f5aa0026b3a7c03d838ea.jpg)
У датчиках відбитків пальців виявлені вразливості безпеки
Експерти з безпеки з paluno, Рурського інституту технологій програмного забезпечення при Університеті Дуйсбурга-Ессена (UDE) розробили нову техніку, яка вперше дозволяє тестувати нечіткість захищених областей пам’яті в сучасних процесорах. Їхній метод виявив багато вразливостей у критично важливому для безпеки програмному забезпеченні.
«Software Guard Extension» (SGX) від Intel — це широко використовувана технологія для захисту конфіденційних даних від зловживання. Це допомагає розробникам захистити певну область пам’яті від решти комп’ютера. Менеджер паролів, наприклад, можна безпечно запустити в такому анклаві, навіть якщо решта системи пошкоджена шкідливим програмним забезпеченням.
Однак під час програмування анклавів нерідко трапляються помилки. Вже у 2020 році команда paluno під керівництвом професора доктора Лукаса Даві виявила та опублікувала кілька вразливостей в анклавах SGX. Тепер, разом із партнерами з кластеру передового досвіду CASA, дослідники досягли ще одного прориву в техніках аналізу: їхня остання розробка дозволяє тестувати фази анклавів, що набагато ефективніше, ніж символічне виконання, яке використовувалося раніше. Ідея фазз-тестування полягає у введенні великої кількості вхідних даних у програму, щоб отримати уявлення про структуру коду.
«Оскільки анклави призначені для того, щоб не піддаватися інтроспективі, до них неможливо легко застосувати фазинг», — пояснює проблему Тобіас Клустер, вчений з paluno. «Крім того, для фазингу потрібні вкладені структури даних, які ми динамічно реконструюємо з коду анклаву». Його партнер Йоханнес Віллболд з дослідницького коледжу SecHuman з Рурського університету Бохума додає: «Таким чином екрановані області можна аналізувати без доступу до вихідного коду».
Завдяки сучасній технології фазингу дослідники змогли виявити багато раніше невідомих проблем безпеки. Постраждали всі протестовані драйвери відбитків пальців, а також гаманці для зберігання криптовалюти. Хакери можуть використати ці вразливості, щоб зчитувати біометричні дані або викрасти весь баланс збереженої криптовалюти. Всі компанії були поінформовані. У загальнодоступний каталог CVE додано три уразливості.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2Fbc009d0c676d25486ab1258367827a39.jpg)
/https%3A%2F%2Fthumbor.my.ua%2FVcMFQe0kVJsVweadQ3Gx9HB11Ys%3D%2F16x0%2Fsmart%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Faa0f4e7f-e75d-4ee7-ae35-483fc37274d1.png){kind=small}
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F319d686b1b346449c08e9d4be0c0685d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F88295d351090797200fe89bfa972a150.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F84eb00707723a0abab8d207ab25192bf.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F9aa608e4ecb8e331186778f68d48fb88.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fa1dadbfe681b96a67304d3903f88d867.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F51e8fa88f39ecb868472366154d761d6.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F18a86b1922109675edb011d55ff0f69c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F2%2Ffb828fa5b5e0c427f7458003422b2ff8.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F14f10ae4b2f4e6e820ac32b783799a3f.jpg)