Выявлена уязвимость в программном обеспечении Touch ID для устройств Apple

Статьи и обзоры

Выявлена уязвимость в программном обеспечении Touch ID для устройств Apple

18.08.2017

Эксперт по безопасности нашел способ расшифровать программную прошивку сопроцессора Secure Enclave, который в устройствах Apple отвечает за авторизацию по отпечатку пальца

Выявлена уязвимость в программном обеспечении Touch ID для устройств Apple Эксперт по безопасности, известный под псевдонимом xerub, опубликовал ключ дешифрования для программной прошивки со-процессора Secure Enclave Processor, используемого в устройствах Apple. Об этом сообщил ресурс Iclarified.

Secure Enclave Processor (SEP) представляет собой отдельное устройство, фактически, компьютер в компьютере, ответственное за обеспечение безопасности устройства. У него есть собственная операционная микросистема с ядром, драйверами, службами и приложениями.

Основная задача SEP с момента его появления сводилась к обслуживанию сенсора Touch ID, используемого для авторизации по отпечатку пальца и последующего осуществления различных операций, например, покупок онлайн без дополнительной авторизации.

Touch ID является стандартным компонентом с 2014 г., когда вышел iPhone версии 5s. Обмен данными между процессоором и сенсором Touch ID осуществляется через шину последовательного периферийного интерфейса. Основной процессор устройства перенаправляет данные к Secure Enclave, но в остальном у него нет доступа к их содержимому: они зашифрованы и для доступа к ним необходим отдельный ключ сессии, которым компоненты устройства обмениваются, используя общий ключ устройства для Touch ID и Secure Enclave.

Расшифровка программной прошивки сопроцессора Secure Enclave, обслуживающего сенсорный датчик, может иметь драматические последствия для безопасности iPhone и iPad. Обмен ключом сессии происходит с использованием шифрования симметричного ключа по алгоритму AES: оба компонента генерируют собственные случайные ключи, из которых формируется ключ сессии; его передача шифруется по алгоритму AES-CCM.

Источник: CNews.ru

Рейтинг статьи

Оставить комментарий

Возврат к списку

Материалы по теме:

Статьи и обзоры

2019 год станет годом биометрических платежных карт: обзор и прогнозы отрасли
К 2023 году будет использоваться 579 миллионов биометрических платежных карт
Биометрические технологии и проблема защиты частной жизни
Глобальное внедрение технологии распознавания лиц вызывает беспокойство общества
Защитят ли биометрические технологии от терроризма
Террористические атаки повышают интерес к биометрическим технологиям
Будущее розничной торговли - в биометрических технологиях
Биометрические технологии - ключ для изменений в подходах к взаимодействию с покупателем
Биометрия в школах – все по ладони!
Детям не нужны кошельки - достаточно ладони

Новости рынка и технологий

Участники конференции ЦИПР смогут воспользоваться сервисом биометрической посадки на поезд «Мигом»
Пилотный проект реализуется Центром биометрических технологий совместно с РЖД по трем маршрутам, среди которых Москва — Нижний Новгород — Москва
Посадка на поезд теперь возможна по биометрии
В поездах Дирекции скоростного сообщения РЖД в пилотном режиме проводники могут подтвердить личность по биометрии с помощью портативного устройства
VisionLabs стала технологическим партнёром проекта по посадке в самолёт по биометрии
Технология Liveness Detection от VisionLabs обеспечивает защиту от фрода — попыток пройти по чужой фотографии, по видео с телефона или по реалистичной маске
VisionLabs оборудует стройплощадки в Москве биометрическими СКУД
По биометрии на стройплощадки проходят более 20 тысяч сотрудников в день, проход занимает менее 2 секунд, система также отвечает за подсчет рабочих и учет рабочего времени
VisionLabs представила ПАК «ВЛ-БИО», соответствующий требованиям 572-ФЗ
С помощью ПАК «ВЛ-БИО» можно безопасно подключаться к коммерческим биометрическим системам (КБС), Единой биометрической системе (ЕБС) и региональному сегменту ЕБС для идентификации и аутентификации по биометрии во всех сценариях

Продукты автоматической идентификации

RST-INVENTORY ПО для проведения инвентаризации с помощью мобильного RFID считывателя	Chainway MC95 Высокопрочный (IP68) мобильный компьютер промышленного класса	RST-GN-001 Портальный RFID-считыватель для регистрации RFID-меток в контролируемых проходах
DASCOM DC-2300 Компактный принтер для печати карт с технологией прямой термопечати	Тау Платформа Кроссплатформенное решение для быстрой разработки мобильных и десктоп приложений	Chainway C66 Мобильный компьютер на базе OC Android
RST-REPORT ПО для построения отчетов о работе RFID-системы	Chainway UR4 4-портовый стационарный UHF RFID считыватель	RST-SPEEDWARE ПО для сбора информации со считывателей и сохранения ее в базе данных