Форма атаки SpiKey создаст копии ключей с помощью записанного звука

Форма атаки SpiKey создаст копии ключей с помощью записанного звука

Специалисты Национального университета Сингапура утверждают, что им удалось найти способ взломать физические замки с помощью звука, с которым они открываются. Эта форма акустической атаки получила имя SpiKey.

Ещё в марте специалисты опубликовали исследование [PDF], в котором описывался «подбор ключа с помощью звука».

«С марта месяца мы работали над конвертацией нашего исследования в некий продукт. Так появилась SpiKey — новая форма атаки, в ходе которой используется микрофон для снятия звука поворота ключа в замке», — заявил Сундарья Рамеш, один из экспертов.

По словам специалистов, правильный захват звука микрофоном позволит вычислить форму ключа и снять цифровой слепок.

Специальный софт, написанный сотрудниками университета в Сингапуре, отслеживает временные интервалы между щелчками (когда ключ соприкасается со штифтами замка). Это позволяет определить расстояние между гребнями ключа.

Согласно замыслу специалистов, впоследствии можно использовать 3D-принтер для создания точной копии интересующего ключа.

«Наш способ SpiKey гарантирует сужение 94% ключей до 10 потенциальных ключей», — объясняют исследователи.

Однако стоит учитывать, что некоторые ключи используют специальную технику, затрудняющую отслеживание щелчков. В общем сложности вектор атаки SpiKey сработает приблизительно против 56% ключей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru