Nul
Et team af akademikere, der siger, at de kan bestemme brugerens tastetryk ved at se for data lækager i, hvordan en processor beregner kode fra standard biblioteker.
Den generelle ide bag denne forskning er, at den kode, der gør teksten på skærmen via standard biblioteker, der indgår i moderne operativsystemer utætheder fingerpeg om de oplysninger, der er i behandling, selv om den tekst, som er skjult bag en adgangskode ‘ s generiske prikker.
Denne type sårbarhed-kendt som en side-channel-angreb– er ikke ny, men det er først og fremmest været brugt til at inddrive klartekst oplysninger fra krypteret kommunikation.
Men, denne nye side-kanal angreb variation fokuserer på CPU delt hukommelse, hvor biblioteker håndtag der gør operativsystemet brugergrænseflade (UI).
I et forsknings-papir, der er delt med ZDNet, og der vil blive præsenteret på en tech-konferencen næste år, et team af akademikere, der har sammensat et proof-of-concept-side-channel-angreb med henblik på biblioteker.
De siger, at gennem en ondsindet proces, der kører på OS, de kan observere disse lækager og gætte med stor nøjagtighed, hvad tekst, som en bruger kan være at skrive.
Sikker, nogle læsere vil måske påpege, at keyloggers (en type af malware), kan de gøre det samme, men forskerens kode har den fordel, at det ikke kræver admin/root eller andre særlige rettigheder til at arbejde.
Angrebet kode kan være skjult inde i legitime apps og gendanne tastetryk med en meget lavere chance for at blive opdaget af antivirus-produkter.
Men forskerne’ angreb er ikke noget du skal bekymre dig om endnu. Dette angreb er kun teoretisk, for nu, og ville være meget svært at trække sig ud af en lav-dygtig angriber.
At forberede en side-channel-angreb af denne type kræver at studere, hvordan et operativsystem, der interagerer med sine grafiske bibliotek på specifikke hardware-arkitekturer. Hackeren er nødt til at have præcis hardware specs på offerets computer, men også af den software målet anvendelser, hvor der har til hensigt at stjæle tekster (mest sandsynligt login passwords).
Men der er også fordele for dette angreb. For startere, i forhold til klassiske keylogging malware, dette angreb virker også med skærmtastaturer og er ikke udelukkende begrænset til at indsamle tastetryk fra hardware-tastaturer.
Desuden angreb kan skræddersys til at arbejde på alle OS, herunder mobile operativsystemer. I løbet af deres tests, forskere taget til fange tastetryk fra en Ubuntu og Android OS.
Hertil kommer, som angreb samler flere tastetryk fra biblioteker, det får også bedre til at gætte det rigtige taster.
Proof-of-concept angreb forskere, som er udtænkt til deres papir, der var kodet til at aflytte kun numeriske og små bogstaver, men forskere siger, at en hacker kan skifte til en anden forudsigelse modellen til at tage højde for store bogstaver og specielle tegn, hvis det er nødvendigt.
Forskerholdet har også indspillet en demo af deres angreb, indlejret nedenfor. De har også planer om at frigive kildekoden til deres angreb i fremtiden.
Flere detaljer om dette angreb vil være til rådighed næste år i et forsknings dokument med titlen “Afsløringen dine tastetryk: En Cache-baseret Side-kanal Angreb på Biblioteker,” forfattet af forskere fra University of California, Riverside, Virginia Tech, og US Army Research Lab.
Forskerholdet, der er planlagt til at præsentere deres arbejde i Netværk og Distribuerede System Security Symposium (NDSS), der vil finde sted i San Diego i slutningen af februar 2019.
Mere cybersecurity dækning:
Nye machine learning algoritme pauser sms-captcha ‘ er lettere end nogensinde atSe forskere, eksternt mursten af en server ved at ødelægge sin BMC & UEFI firmwareSQLite fejl virkninger tusindvis af apps, herunder alle Chrom-baserede browsereDOD ikke holde styr på dobbelt eller forældet softwareAMERIKANSKE ballistiske missil-systemer har en meget dårlig it-sikkerhedSupermicro udgivelser high-density SAS opbevaring chassis TechRepublicSuper Mikro siger intet bevis for at spy chips, der findes i dens hardware CNETSuper Mikro siger eksterne sikkerhed revision fandt ingen beviser på, at bagdør chips
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0