Vulnérabilités de sécurité révélées dans les capteurs d’empreintes digitales et les portefeuilles cryptographiques

numérisation d'empreintes digitales

Crédit : domaine public CC0

Des experts en sécurité de paluno, l’Institut de technologie logicielle de la Ruhr de l’Université de Duisburg-Essen (UDE), ont développé une nouvelle technique qui, pour la première fois, permet de tester fuzz les zones de mémoire protégées dans les processeurs modernes. Leur méthode a révélé de nombreuses vulnérabilités dans les logiciels critiques pour la sécurité.

“Software Guard Extension” (SGX) d’Intel est une technologie largement utilisée pour protéger les données sensibles contre les abus. Il aide les développeurs à protéger une certaine zone de mémoire du reste d’un ordinateur. Un gestionnaire de mots de passe, par exemple, peut être exécuté en toute sécurité dans une telle enclave, même si le reste du système est corrompu par des logiciels malveillants.

Cependant, il n’est pas rare que des erreurs se glissent lors de la programmation des enclaves. Déjà en 2020, l’équipe paluno du Prof. Dr. Lucas Davi a découvert et publié plusieurs vulnérabilités dans les enclaves SGX. Aujourd’hui, en collaboration avec des partenaires du pôle d’excellence CASA, les chercheurs ont réalisé une autre percée dans les techniques d’analyse : leur dernier développement permet le test fuzz des enclaves, qui est beaucoup plus efficace que l’exécution symbolique utilisée auparavant. L’idée derrière les tests fuzz est d’alimenter un grand nombre d’entrées dans un programme afin d’avoir un aperçu de la structure du code.

“Comme les enclaves sont censées être non introspectables, le fuzzing ne peut pas facilement leur être appliqué”, explique le scientifique paluno Tobias Clooster. “De plus, le fuzzing nécessite des structures de données imbriquées, que nous reconstruisons dynamiquement à partir du code de l’enclave.” Son partenaire de recherche Johannes Willbold de l’université de recherche SecHuman de la Ruhr-Universität Bochum ajoute : “De cette façon, les régions protégées peuvent être analysées sans accéder au code source.”

Grâce à la technologie de fuzzing moderne, les chercheurs ont pu détecter de nombreux problèmes de sécurité jusque-là inconnus. Tous les pilotes d’empreintes digitales testés ainsi que les portefeuilles pour stocker la crypto-monnaie ont été affectés. Les pirates pourraient exploiter ces vulnérabilités pour lire des données biométriques ou voler tout le solde de la crypto-monnaie stockée. Toutes les entreprises ont été informées. Trois vulnérabilités ont été ajoutées au répertoire CVE accessible au public.


LVI : les processeurs Intel restent vulnérables aux attaques, selon une étude


Fourni par l’Université de Duisburg-Essen

Citation: Vulnérabilités de sécurité révélées dans les capteurs d’empreintes digitales et les portefeuilles cryptographiques (15 juillet 2022) récupéré le 15 juillet 2022 sur https://techxplore.com/news/2022-07-vulnerabilities-revealed-fingerprint-sensors-crypto.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.