Editor Top
Crédito: CC0 Dominio público
Los expertos en seguridad de paluno, el Ruhr Institute for Software Technology de la Universidad de Duisburg-Essen (UDE), han desarrollado una nueva técnica que, por primera vez, permite realizar pruebas fuzz de áreas de memoria protegidas en procesadores modernos. Su método reveló muchas vulnerabilidades en el software crítico para la seguridad.
La «Extensión de protección de software» (SGX) de Intel es una tecnología ampliamente utilizada para proteger los datos confidenciales del uso indebido. Ayuda a los desarrolladores a proteger un área de memoria determinada del resto de una computadora. Un administrador de contraseñas, por ejemplo, se puede ejecutar de manera segura en dicho enclave, incluso si el resto del sistema está dañado por malware.
Sin embargo, no es raro que se produzcan errores durante la programación de los enclaves. Ya en 2020, el equipo paluno del Prof. Dr. Lucas Davi descubrió y publicó varias vulnerabilidades en enclaves SGX. Ahora, junto con los socios del clúster de excelencia CASA, los investigadores han logrado otro avance en las técnicas de análisis: su último desarrollo permite la prueba de fuzz de enclaves, que es mucho más efectiva que la ejecución simbólica utilizada anteriormente. La idea detrás de la prueba de fuzz es alimentar una gran cantidad de entradas en un programa para obtener información sobre la estructura del código.
«Como los enclaves están destinados a ser no introspectables, no se les puede aplicar fácilmente el fuzzing», explica el científico paluno Tobias Clooster sobre el desafío. «Además, el fuzzing requiere estructuras de datos anidadas, que reconstruimos dinámicamente a partir del código del enclave». Su socio de investigación, Johannes Willbold, del colegio de investigación SecHuman de la Ruhr-Universität Bochum, agrega: «De esta manera, las regiones protegidas se pueden analizar sin acceder al código fuente».
Gracias a la tecnología moderna de fuzzing, los investigadores pudieron detectar muchos problemas de seguridad previamente desconocidos. Todos los controladores de huellas digitales probados, así como las billeteras para almacenar criptomonedas, se vieron afectados. Los piratas informáticos podrían explotar estas vulnerabilidades para leer datos biométricos o robar el saldo completo de la criptomoneda almacenada. Todas las empresas fueron informadas. Se agregaron tres vulnerabilidades al directorio CVE disponible públicamente.
LVI: los procesadores Intel siguen siendo vulnerables a los ataques, según un estudio
Proporcionado por la Universität Duisburg-Essen
Citación: Vulnerabilidades de seguridad reveladas en sensores de huellas digitales y billeteras criptográficas (15 de julio de 2022) consultado el 15 de julio de 2022 en https://techxplore.com/news/2022-07-vulnerabilities-revealed-fingerprint-sensors-crypto.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
