Oleh Diposting pada

Pangenal sidik sidik dipercaya janten metode auténtikasi anu cukup aman. Publikasi ngeunaan sagala rupa cara pikeun nipu sénsor sidik ramo kadang-kadang muncul, tapi sadaya metode anu disarankeun kumaha waé dugi ka sacara fisik niru ramo pamilik telepon – boh nganggo pad silikon atanapi citak tinta konduktif. Ieu ngalibatkeun procuring gambar ramo kualitas luhur – teu ramo mana wae, pikiran, tapi hiji didaptarkeun dina sistem.

Pondokna, sakabéh métode ieu datangna kalawan loba complexities dunya nyata. Tapi naha éta tiasa dilakukeun ku cara anu langkung elegan, tanpa ngantunkeun dunya digital anu murni sareng sadaya mangpaatna? Salaku tétéla, éta: peneliti Cina Yu Chen sarta Yiling Anjeunna nembe diterbitkeun mangrupa ulikan ngeunaan cara BRUTE maksakeun ampir sagala smartphone Android anu sidik ditangtayungan. Aranjeunna nelepon serangan BrutePrint.

Kumaha unikna sidik?

Saméméh urang delve kana karya counterparts Cina urang, sakeudeung — sababaraha téori latar tukang… Kahiji sakabeh, jeung Anjeun meureun terang ieu, tapi sidik sabenerna unik jeung pernah robah jeung umur.

Ayeuna, dina taun 1892, élmuwan Inggris Sir Francis Galton medalkeun karya anu disebut Finger Prints. Di jerona, anjeunna nyimpulkeun data ilmiah ayeuna ngeunaan sidik, sareng karya Galton nempatkeun dasar téoritis pikeun panggunaan praktis sidik dina forensik.

Diantara hal séjén, Sir Francis Galton ngitung yén kamungkinan sidik cocog nyaéta “kurang ti 236, atawa hiji dina kira-kira genep puluh opat rébu juta.” Ahli forensik taat kana nilai ieu malah kiwari.

Ku jalan kitu, lamun anjeun kana anatomi teuas atawa biologi balik sidik unik, ieu kertas panalungtikan anyar dina subjek.

Kumaha dipercaya sensor sidik?

Sanajan kitu, karya Sir Francis jeung sagala rupa nu geus datang ti anjeunna, geus ngalakonan jeung (haneut) dunya analog, nu ngawengku hal kawas nyokot sidik, cocog jeung nu ditinggalkeun di, sebutkeun, TKP, sarta Bob keur anjeun. mamang. Tapi hal anu bit béda dina (tiis) kanyataanana digital. Kualitas perwakilan sidik digital gumantung kana sababaraha faktor: jinis sensor, ukuran sareng résolusina, sareng — dina ukuran leutik — algoritma pas-processing sareng “gambar” cocog.

Ngabandingkeun sidik digital anu dicandak ku sénsor optik sareng salinan sidik analog

Sidik ramo sapertos katingal ku Sir Francis Galton 150 taun ka pengker (kénca), sareng ku sénsor optik telepon téknologi tinggi anjeun (katuhu). Sumber jeung Sumber

Sareng, tangtosna, pamekar kedah ngajantenkeun alat-alat ieu langkung mirah (atanapi teu aya anu bakal ngagaleuhna), ngahontal auténtikasi sadetik-detik (atanapi kabeuratan ku keluhan ngeunaan laju anu laun), sareng ngahindarkeun négatip palsu dina sagala biaya (atanapi pangguna bakal ngalungkeunana. kabeh jauh sakaligus).). Hasilna sanes sistem auténtikasi anu akurat pisan.

Janten nalika ngarujuk kana sénsor anu dianggo dina smartphone, jumlah anu langkung optimis dicutat pikeun kamungkinan nyocogkeun fragmen sidik ramo tibatan anu terkenal 1 dugi ka 64 milyar. Contona, Apple ngira-ngira kamungkinan Touch ID dina 1 nepi ka 50.000. Janten aman pikeun nganggap yén pikeun modél sensor anu ramah anggaran, odds bakal ngaleutikan langkung jauh ku hiji atanapi dua pesenan.

Ieu nyandak urang ti milyaran ka rébuan. Nu geus aya dina jangkauan keur brute force. Janten bakal peretas ngan ukur hiji halangan tina hadiah: wates jumlah usaha pangakuan sidik. Biasana ukur lima di antarana anu diidinan, dituturkeun ku période anu berkepanjangan pikeun ngonci auténtikasi sidik.

Naha halangan ieu tiasa diatasi? Yu Chen sareng Yiling Anjeunna masihan jawaban satuju kana éta di kamar diajar.

BrutePrint: nyiapkeun brute maksakeun smartphone Android anu ditangtayungan sidik ramo

Metodeu panalungtik dumasar kana kalemahan dina palaksanaan sensor sidik smartphone Android generik: taya sahiji model diuji encrypts saluran komunikasi antara sensor jeung sistem. Ieu muka kasempetan pikeun serangan MITM dina sistem auténtikasi: ku alat disambungkeun ka smartphone via port SPI motherboard urang, hiji bisa intercept pesen asup ti sensor sidik, sarta ngirim pesen sorangan ku impersonating sensor sidik.

Panaliti nyiptakeun alat sapertos kitu (sensor pseudo) sareng dilengkepan ku gadget pikeun otomatis ngaklik layar sénsor smartphone. Kituna bagian komponén hardware disiapkeun pikeun feed sababaraha gambar sidik ka smartphone dina modeu otomatis.

Alat anu dianggo pikeun serangan BrutePrint

Alat pikeun maksakeun sistem auténtikasi sidik. Sumber

Ti dinya, aranjeunna mimiti nyiapkeun spésimén sidik pikeun brute-forcing. Panaliti henteu ngungkabkeun sumber databés sidik ramona, ngabatesan diri kana spekulasi umum ngeunaan kumaha panyerang éta (kolam panalungtikan, data bocor, database sorangan).

Salaku lengkah saterusna, database sidik dikirim ka AI pikeun ngahasilkeun hal kawas kamus sidik pikeun maksimalkeun pungsi kinerja brute force. Gambar sidik ramo diadaptasi ku AI pikeun cocog sareng anu dihasilkeun ku sénsor anu dipasang dina smartphone anu milu dina ulikan ieu.

Sampel gambar anu dihasilkeun ku sénsor sidik tina sababaraha jinis

Gambar anu dipulangkeun ku sababaraha jinis sénsor sidik ramo béda pisan. Sumber

Dua kerentanan di handapeun BrutePrint: Bolaykeun-After-Match-Fail sareng Match-After-Lock

Serangan BrutePrint ngamangpaatkeun dua kerentanan. Panaliti mendakan éta dina logika dasar kerangka auténtikasi sidik anu, ku katingalna, hadir sareng sadaya smartphone Android tanpa iwal. Kerentanan disebut Cancel-After-Match-Fail and Match-After-Lock.

Ngabolaykeun-After-Match-Fail kerentanan

Ngabolaykeun-After-Match-Foot (CAMF)

exploits dua fitur penting tina mékanisme auténtikasi sidik. Kahiji nyaéta kanyataan yén éta ngandelkeun multisampling, hartina unggal usaha auténtikasi teu make hiji, tapi runtuyan dua nepi ka opat gambar sidik (gumantung model smartphone). Anu kadua nyaéta kanyataan yén, sajaba gagalUsaha auténtikasi ogé tiasa hasil kasalahan – sarta dina hal ieu, aya mulang ka awal.

Hal ieu ngamungkinkeun ngirim runtuyan gambar ditungtungan ku pigura tos diédit pikeun memicu kasalahan. Ku kituna lamun salah sahiji gambar di set micu hiji patandingan, hiji auténtikasi suksés bakal lumangsung. Upami teu kitu, siklus bakal mungkas dina kasalahan, nu satutasna runtuyan anyar gambar bisa dikintunkeun tanpa wasting sagala usaha berharga.

Diagram tina kerentanan logika auténtikasi sidik ramo Cancel-After-Match-Fail

Kumaha Ngabolaykeun-Saatos-Match-Gagal jalan: kasalahan mawa anjeun deui ka pasagi hiji tanpa wasting usaha . Sumber

Cocog-Sanggeus-Konci kerentanan

Karentanan kadua nyaéta Pertandingan-Sanggeus-Konci (MAL). Logika auténtikasi sidik nyadiakeun periode konci sanggeus usaha gagal, tapi loba nu ngical paralatan smartphone gagal pikeun nerapkeun fitur ieu leres dina versi maranéhanana Android. Ku kituna sanajan auténtikasi sidik suksés teu mungkin dina modeu konci, hiji masih bisa ngirimkeun leuwih gambar anyar, nu sistem bakal tetep ngabales kalawan jujur ​​’leres’ tina jawaban ‘palsu’. Nyaéta, saatos anjeun ngadeteksi gambar anu leres, anjeun tiasa nganggo éta pas sistemna dikonci, ku kituna ngalengkepan auténtikasi anu suksés.

Serangan ngamangpaatkeun Cancel-After-Match-Fail and Match-After-Lock

Serangan anu ngeksploitasi kerentanan munggaran suksés pikeun sadaya smartphone anu diuji sareng Android asli, tapi kusabab sababaraha alesan éta henteu tiasa dianggo sareng HarmonyOS. Match-After-Lock dieksploitasi dina smartphone Vivo sareng Xiaomi ogé dina telepon Huawei anu ngajalankeun HarmonyOS.

Méja kerentanan pikeun sababaraha smartphone pikeun Batal-Saatos-Pasangan-Gagal sareng Cocog-Saatos-Konci

Sadaya smartphone anu diuji kapanggih rentan ka sahenteuna hiji serangan. Sumber

Sadaya smartphone Android sareng HarmonyOS anu milu dina ulikan ieu kapanggih rentan ka sahenteuna salah sahiji serangan anu dijelaskeun. Ieu ngandung harti yén aranjeunna sadayana ngijinkeun usaha auténtikasi sidik sidik anu teu terbatas.

Numutkeun kana panilitian, peryogi 2,9 dugi ka 13,9 jam pikeun ngahakan sistem auténtikasi smartphone Android kalayan ngan hiji sidik anu kadaptar. Tapi pikeun smartphone kalawan jumlah maksimum mungkin tina sidik kadaptar pikeun model dibikeun (opat pikeun Samsung, lima pikeun sakabéh batur), waktos noticeably ngurangan: Hacking aranjeunna nyokot tina 0,66 nepi ka 2,78 jam.

waktos Hacking smartphone maké BrutePrint

Probabilitas serangan BrutePrint suksés salaku fungsi waktos spent: hiji sidik kadaptar (garis solid) jeung jumlah maksimum sidik didaptarkeun (garis dashed). Sumber

Kumaha upami iPhones?

Sistem Touch ID anu dianggo dina iPhone katingalina langkung tahan ka BrutePrint. Numutkeun kana panilitian, kauntungan utama iPhone nyaéta yén komunikasi antara sénsor sidik ramo sareng sesa sistem énkripsi. Janten teu aya deui jalan pikeun nyegat atanapi masihan sistem sidik ramo anu disetél dina alat anu dilengkepan Touch ID.

Panaliti nunjukkeun yén iPhone sawaréh rentan ka manipulasi anu dianggo pikeun maksimalkeun jumlah usaha pangakuan sidik. Nanging, éta henteu goréng sapertos anu disada: bari smartphone Android ngamungkinkeun pésta éta salamina, dina iPhone jumlah usaha ngan ukur tiasa ningkat tina 5 dugi ka 15.

Janten pangguna ios tiasa bobo damai: Touch ID langkung dipercaya tibatan auténtikasi sidik anu dianggo dina Android sareng HarmonyOS. Ogé, ayeuna kalolobaan model iPhone nganggo Face ID.

Kumaha bahaya sadayana ieu?

Pamilik smartphone Android ogé henteu kedah hariwang teuing ngeunaan BrutePrint – dina praktékna, serangan éta ampir henteu aya ancaman anu ageung. Aya sababaraha alesan pikeun ieu:

  • BrutePrint merlukeun aksés fisik ka alat. Faktor ieu nyalira ngirangan kamungkinan kajadian sapertos kitu ka anjeun ku margin anu ageung.
  • komo deui, pikeun ngalakukeun serangan, saurang kedah muka konci alat tur nganggo konektor husus dina motherboard nu. Ngalakonan eta tanpa pangaweruh nu boga urang teu gampang.
  • Malah dina skenario kasus pangalusna, serangan bakal lumangsung butuh waktu nu rada lila – diukur dina jam.
  • Sareng, tangtosna, BrutePrint merlukeun setélan husus – duanana hardware jeung software – kaasup parabot custom, database sidik sarta AI dilatih.

Digabungkeun, faktor-faktor ieu ngajantenkeun serangan sapertos kitu henteu mungkin dianggo dina kahirupan nyata – kecuali sababaraha sumanget wirausaha ngawangun produk komérsial anu gampang dianggo dumasar kana panalungtikan.

Ngajagi smartphone Android tina paksaan sidik

Upami, sanaos di luhur, anjeun yakin anjeun tiasa janten korban serangan sapertos kitu, ieu sababaraha tip ngeunaan cara ngajagaan diri anjeun:

  • Ngadaptar saloba mungkin sidik (idealna ngan hiji). Beuki ramo anu anjeun anggo pikeun auténtikasi, sistem bakal langkung rentan kana taktik anu dijelaskeun sareng serangan anu sanés.
  • Tong hilap nganggo PIN tambahan atanapi panyalindungan sandi kanggo aplikasi anu gaduh pilihan ieu.
  • Ku jalan kitu, fungsi AppLock sadia dina versi dibayar Kaspersky pikeun Android ngamungkinkeun ngagunakeun kecap akses misah pikeun sakabéh aplikasi Anjeun.


#Bruteforce #sidik #ditangtayungan #smartphone #Blog #resmi #Kaspersky

Oleh Diposting pada

Upami anjeun nyobian ngajagi diri tina unggal ancaman di dunya, anjeun bakal gancang béak tanaga sareng ngajantenkeun hirup anjeun teu kaampeuh. Auténtikasi tilu-faktor di dieu, kecap akses dua puluh karakter sareng catetan musik sareng karakter Cina di dinya, panyungsi anu béda pikeun situs wéb anu béda, sareng tabu média sosial henteu ketat.

Anu paling nyeri nyaéta yén ngagunakeun ampir sagala ukuran kaamanan sapertos kitu moal ngabantosan anjeun tina unggal ancaman: anu énggal terus muncul, sareng peryogi metode panyalindungan énggal. Samentara éta, sabagéan ageung lapisan kaamanan énggal langkung utilitas: gaduh auténtikasi dua faktor henteu langkung gampang tibatan henteu gaduh hiji. Tur éta conto sahenteuna bangor. Janten naon anu anjeun tiasa laksanakeun ngeunaan ieu? Nyiptakeun lanskap ancaman anjeun nyalira, cara anu dilakukeun ku perusahaan nalika ngarancang prosés kaamananna, sareng ngamankeun diri anjeun tina ngan ukur ancaman anu aya dina bentang éta.

Naon bentang ancaman, sareng naon hubunganana sareng anjeun

Dina widang kaamanan perusahaan, bentang anceman mangrupa kumpulan woes cyber anu ngancam pausahaan di industri tangtu dina jangka waktu nu tangtu. Ieu kalebet grup kerentanan, malware, sareng ransomware sareng téknik anu aranjeunna anggo.

Tinjauan ngeunaan bentang ancaman ngabantosan nangtukeun naon anu kedah dijagi ku perusahaan. Sababaraha ancaman bakal langkung mendesak tibatan anu sanés, gumantung kana lokasi sareng bisnis perusahaan. Sarta alatan anggaran kaamanan salawasna boga wates, sakumaha ogé jumlah staf kaamanan, ngajadikeun rasa ngajaga ngalawan ancaman sabenerna relevan.

Naha henteu nyiptakeun bentang ancaman sapertos kitu pikeun diri anjeun sareng dasarkeun strategi kaamanan pribadi anjeun dina éta? Ieu bakal nyegah anjeun nyangkut sababaraha lapisan panyalindungan sareng ngabantosan anjeun teras-terasan nganggo internét kalayan sahenteuna sababaraha tingkat kanyamanan.

Ngawangun bentang ancaman pribadi

Unggal individu, sapertos unggal perusahaan, gaduh bentang ancaman sorangan. Naha anjeun nganggo, sebutkeun, TikTok atanapi Instagram, sareng naha anjeun gaduh manajer sandi atanapi henteu mangaruhan ancaman anu langkung relevan pikeun anjeun. Seueur faktor sanésna ogé maénkeun peran, sapertos dimana anjeun cicing, sistem operasi naon anu anjeun gaduh dina komputer anjeun, aplikasi olahtalatah instan naon anu anjeun anggo, sareng saha anu anjeun kirimkeun téks nganggo aplikasi ieu.

Kitu cenah, sakabéh bentang anceman pribadi ieu mibanda elemen nu tangtu di umum, sabab urang sadayana hirup dina abad ka-21st abad, kabéh ngagunakeun komputer tur smartphone, sarta sakabeh browsing Web. Ku alatan éta, pikeun kaperluan sawala ieu, bentang ancaman pribadi bisa dibagi kana bagian umum jeung individu, jeung bagian umum dilarapkeun lolobana pikeun dulur, jeung bagian individu ditetepkeun ku kaayaan husus jalma.

Bagian umum tina bentang ancaman

Upami anjeun maca biasa blog ieu, anjeun gaduh ide kasar ngeunaan jinis ancaman anu paling sering sareng relevan henteu paduli nagara tempatna. Mimitina jeung foremost, ieu tipu daya, data bocorjeung rupa-rupa panipuan. Sarerea kudu tetep ditangtayungan tina ieu.

Perlindungan pangsaéna tina phishing nyaéta diajar ngadeteksi éta. Jang ngalampahkeun ieu, anjeun kedah ngalakukeun ieu:

Ngamankeun diri tina bocor data langkung hese, sabab sering henteu lepat anjeun, tapi tina sababaraha jasa anu anjeun anggo. Kusabab masing-masing urang ngagunakeun seueur jasa online – tina média sosial ka toko online, sareng ti perusahaan asuransi ka jasa pangiriman – sesah ngalacak sadayana.

Sacara umum, anjeun kedah siap pikeun bocor, samentawis [placeholder corpsite]salah sahiji produk Kaspersky anyar[/placeholder] kalayan fitur peringatan bocor data tiasa ngabantosan anjeun ngawas naon anu relevan pikeun anjeun. Ngawaskeun, tangtosna, mangrupikeun hal anu saé, tapi kumaha upami data bocor? Nya, ieu mangrupikeun hal anu ngan ukur anjeun tiasa ngabales: robih kecap konci gancang, blokir kartu bank anjeun upami diperyogikeun, sareng émut yén alamat sareng nami lengkep anjeun dina email anu ditandatanganan sareng nami manajer akun pribadi anjeun sanés jaminan. e-mail sabenerna ti bank Anjeun. Bank tiasa bocor database na sareng scammers tiasa nganggo éta pikeun phishing.

Tungtungna, aya sagala jinis scams sakuliah dunya, nu béda sacara signifikan antara nagara. Sanajan kitu, aranjeunna gaduh fitur umum. Sapertos dina kasus phishing, pangaweruh mangrupikeun panyalindungan pangsaéna anjeun. Janten teraskeun maca blog urang pikeun diajar ngeunaan jinis-jinis panipuan anu béda-béda, sareng tingali kritis kana naon waé anu saé teuing pikeun leres atanapi ngajerit bahaya sareng nungtut réspon langsung: scammers biasana maénkeun karanjingan manusa atanapi nyobian nempatkeun korbanna. stress keur galau aranjeunna sarta nyekel aranjeunna kaluar hansip.

Phishing, bocor data sareng panipuan mangrupikeun tilu jinis ancaman anu paling umum anu relevan pikeun sadayana. Salajengna, hayu urang tingali bagian individu bentang ancaman, anu gumantung kana saha anjeun sareng kabiasaan online anjeun.

Bagian individu bentang ancaman

Pikeun nyieun bentang ancaman pribadi, Anjeun mimitina kudu introspeksi sarta ngajelaskeun diri jeung kabiasaan Anjeun. Situs wéb sareng jasa talatah instan naon anu anjeun anggo? Dupi anjeun gaduh telepon bisnis misah? Naha anjeun damel ti bumi atanapi kantor, sareng komputer naon anu anjeun anggo?

Teras, gumantung kana jawaban anjeun di luhur, anjeun tiasa ngamimitian nyiptakeun bentang ancaman sareng ukuran kaamanan anu relevan ku ngan saukur ngotéktak daptar.

Anggap anjeun pangguna aktip média sosial. Dina hal ieu, anjeun kedah ngamankeun diri tina hacking akun, larangan serangan sareng pangbajak akun (Instagram, Facebook). Anjeun ogé kedah nyetél setélan privasi anu leres dina Instagram, Facebook, TikTok sareng Twitter.

Kaayaan privasi dina média sosial khusus, sapertos Vivino (pikeun anu resep anggur) sareng Untappd (pikeun anu resep bir), hanjakal: panemuan alkohol anjeun katingali ku saha waé sacara standar. Upami anjeun langkung resep henteu ngabagikeun sabtu minggu anjeun anu leungit ka dunya, pastikeun pikeun ngonpigurasikeun aplikasi ieu supados petualangan anggur atanapi bir anjeun tetep rusiah sakedik.

Atanapi, sebutkeun, anjeun mangrupikeun tukang kesel sareng pangguna Steam. Upami kitu, anjeun kedah ngajaga diri tina maling Trojan nargétkeun akun pangguna sareng panipuan anu ngajalankeun skéma dina kaulinan anu ngajantenkeun kagiatan sapertos kitu. Naon anu anjeun tiasa laksanakeun ngeunaan ieu? Baca ngeunaan scams uap, sarta ngonpigurasikeun fitur kaamanan ladenan urang.

Anggap anjeun blogger atanapi gaduh saluran Telegram anu populér. Nya, ancaman pangbadagna anjeun nyaéta maling akun sareng doxing – anu terakhir langkung umum di kalangan awéwé. Naon anu anjeun tiasa laksanakeun ngeunaan ieu? Diajar kumaha akun biasana dibajak, sareng kéngingkeun produk kaamanan anu dipercaya pikeun nétralisasi Trojan sareng ngingetkeun anjeun ngeunaan phishing sareng bocor data pribadi.

Sanaos anjeun mutuskeun anjeun henteu resep deui kana média sosial atanapi kaulinan, ulah ngantepkeun akun anjeun ngagantung, tanpa dijaga: aranjeunna tiasa diretas sareng dianggo ngalawan anjeun ku ngaksés data pribadi anjeun. Bagian anu paling parah nyaéta: anjeun moal diajar deui iraha waé – atanapi kantos. Ku sabab éta, kami nyarankeun yén anjeun ningali pituduh kami ngeunaan ngatur akun anu anjeun henteu dianggo/peryogikeun.

Seueur anu naif percaya yén aranjeunna ngan ukur tiasa mendakan panipuan cyber di rohangan pribadina, sedengkeun padamelan aman, dijaga ku profésional anu dilatih, sareng umumna, teu aya tempat pikeun panipuan atanapi phishing! Henteu aya anu langkung jauh tina bebeneran. Upami anjeun milarian padamelan, anjeun tiasa janten target anu sampurna pikeun scammers. Upami anjeun nembé ngamimitian damel di perusahaan énggal, jaga panon anjeun pikeun co-pagawe palsu. Upami anjeun jauh atanapi nganggo komputer pribadi anjeun pikeun damel, atur ruang kerja anjeun supados henteu ngarugikeun bos anjeun, sareng panalungtikan software naon anu anjeun henteu kedah dianggo pikeun damel.

Tungtungna, jadi utamana ati lamun anjeun investor crypto: saprak transaksi cryptocurrency teu ditangtayungan ku hukum, hal anu penting pikeun: milih strategi depository katuhu, inget yen malah dompet tiis bisa hacked, sarta nyandak unggal ukuran pikeun ngamankeun dompét anjeun. konci pribadi jeung frasa cikal.

Sanajan kitu, malah jalma anu geus nutupan sakabéh basa, masang program dipercaya pikeun nyimpen kecap akses tur data pribadi, sarta ngajaga unggal akun conceivable kalawan auténtikasi dua-faktor, kudu mikir sateuacanna ngeunaan naon maranéhna bakal ngalakukeun lamun smartphone maranéhanana jeung hiji aplikasi authenticator aktip. ruksak, leungit atawa dipaling. Kéngingkeun tip kami ngeunaan cara nyadangkeun aplikasi auténtikasi, atanapi cobian balikkeun deui upami anjeun kaleungitan telepon sateuacan anjeun tiasa nyadangkeun.

kacindekan

Ieu kumaha anjeun ngawangun bentang ancaman pribadi anjeun sorangan: ku marios unggal daérah kahirupan cyber anjeun. Sakumaha hanjakalna, léngkah ahir dina nyiptakeun bentang ancaman nyaéta nyiptakeun wasiat sareng wasiat terakhir digital.

Upami anjeun mendesain strategi kaamanan pribadi anjeun nyalira di sekitar bentang ancaman anjeun nyalira, anjeun bakal ngalakukeunana langkung gancang sareng ngajantenkeun hal-hal langkung saderhana tibatan upami anjeun nyobian ngajagaan diri tina sadayana sakaligus. Anjeun pasti peryogi sababaraha pangaweruh ngeunaan cybersecurity sareng privasi online pikeun suksés dina ieu. Ngalanggan milis kami pikeun meunangkeun tulisan anyar dina kotak surat anjeun sarta diajar ngeunaan ancaman kaasup dina bentang ancaman pribadi Anjeun. Solusi kaamanan kami tiasa ngabantosan anjeun nétralisasi ancaman ieu, ngawas bocor data sareng ngajaga data pribadi aman.


#Lanskap #ancaman #pribadi #amankeun #diri #anjeun #kalayan #pinter

Oleh Diposting pada

Smartphone, tablet komo mobil jeung microprocessors Samsung Exynos aya dina resiko keur hacked jarak jauh. Pemburu bug di Google Project Zero nyarios yén anjeun ngan ukur peryogi nomer telepon korban.

Ieu disababkeun ku ayana 18 kerentanan dina prosesor radio baseband Exynos anu seueur dianggo dina Google, Vivo, Samsung, sareng seueur smartphone anu sanés. Opat di antarana kritis sareng ngamungkinkeun panyerang ngaéksekusi kode jarak jauh dina alat korban tanpa tindakan naon waé. Pikeun sésana, operator sélulér sorangan kedah ngalakukeun tindakan jahat, atanapi peretas peryogi aksés langsung kana alat éta.
Kerentanan ieu ngan ukur tiasa dibenerkeun ku pembaruan firmware – henteu acan dileupaskeun. Tapi samentawis éta, anjeun kedah ngajaga diri sareng telepon anjeun aman. Kabeneran, aya ukuran pelindung samentawis anu anjeun tiasa laksanakeun.

Naon BRP?

Prosesor radio baseband (BRP) mangrupikeun sapotong smartphone, tablet atanapi téknologi pinter sanés anu ngatur komunikasi sélulér nirkabel dina alat generasi kadua dugi ka kalima:

  • 2G – GSM, GPRS, EDGE;
  • 3G – CDMA, W-CDMA;
  • 4G – LTE;
  • 5G – 5G NR.

BRP biasana henteu kalebet fungsionalitas Wi-Fi atanapi Bluetooth.

Sakali chip dedicated, pikeun leuwih dasawarsa ayeuna geus ilahar terpadu jeung CPU. Nanging, BRP gaduh mémori sorangan sareng sistem paréntah anu rada rumit – kanyataanna, éta mangrupikeun prosésor khusus anu aktip tukeur data sareng CPU sareng mémori utama.

Kode laksana BRP ditulis kana eta ku nu ngajual, tur éféktif inaccessible mun aktip smartphone pikeun analisis atawa modifikasi. Pikeun CPU, BRP mangrupakeun kotak hideung, tapi boga aksés éksténsif kana mémori utama alat dimana data pamaké disimpen.

Aya seueur perusahaan anu ngahasilkeun CPU sareng BRP. Panangan Samsung anu ngadamel chip mémori sareng mikroéléktronik sanés disebut Samsung Semiconductor. Kulawarga chip andalannya, Exynos, dianggo dina seueur (sanaos henteu sadayana) smartphone sareng tablet Samsung.

Kerentanan dina Exynos

Panaliti Project Zero mendakan yén Exynos BRP salah ngolah rupa-rupa sinyal jasa anu ditampi ku pangguna tina jaringan sélulér. Sanggeus narima pesen erroneous, chip bisa freeze atawa, komo parah, ngajalankeun kode dimuat via pesen jahat. Dalapan belas bug anu aya hubunganana sareng salah urus sinyal jasa kapanggih, sanaos henteu sadayana dijelaskeun sacara rinci pikeun ngahalangan peretas.

Kusabab BRP ngatur sadaya komunikasi sareng jaringan sélulér, kode jahat tiasa dianggo pikeun rupa-rupa tujuan spionase: ti ngalacak geolokasi korban dugi ka ngadangukeun telepon atanapi maok data tina mémori smartphone. Dina waktos anu sami, kusabab éta kotak hideung, BRP ampir teu mungkin pikeun didiagnosis atanapi disinféktan, kecuali ku reflashing.

Chip anu kapangaruhan ku kerentanan nyaéta Exynos 850, 980, 1080, 1280, 2200, Exynos Modem 5123, Exynos Modem 5300, sareng Exynos Auto T5123.

Hanjakalna, padagang henteu salawasna ngungkabkeun detil ngeunaan chip mana anu dipasang dina alat mana. Ngagunakeun data sadia masarakat awam, kasebut nyaéta dimungkinkeun pikeun compile daptar lengkep alat nu kamungkinan ngagunakeun chipset ieu. Ieu ngawengku model handap:

  • Samsung Galaxy A04, A12, A13, A21s, A33, A53, A71, M12, M13, M33, S22;
  • Vivo S6, S15, S16, X30, X60, X70;
  • Google Pixel 6, 6a, 6 Pro, 7, 7 Pro;
  • Sakur kendaraan nganggo chipset Exynos Auto T5123.

Kumaha tetep aman

Cara utama pikeun ngajaga diri anjeun nyaéta ngapdet firmware BRP, anu biasana lumangsung salami apdet firmware pinuh dina smartphone. Salaku conto, Google parantos ngaluarkeun perbaikan bug pikeun Pixel 7 sareng 7 Pro salaku bagian tina pembaruan Maret na. Hanjakalna, Pixel 6 sareng 6 Pro masih rentan dina waktos ngeposkeun. Kami ngarékoméndasikeun nu boga Pixel masang firmware panganyarna ngaliwatan setélan smartphone maranéhanana tanpa reureuh.

Samsung ogé parantos ngaluarkeun pembaruan kode pikeun Exynos BRP, tapi éta henteu acan ngalereskeun sadaya kerentanan. Naon deui, anu ngical paralatan khusus anu ngandung chip ieu kedah mandiri ngarangkep perbaikan ieu kana firmware énggalna. Dina waktos ngeposkeun, firmware pikeun alat anu rentan sanés teu acan sayogi. Éta henteu kedah nyarios yén anjeun kedah pasang apdet ieu pas muncul.

Dugi ka waktos éta, panalungtik Project Zero nyarankeun nganonaktipkeun Voice over LTE (VoLTE) sareng sauran Wi-Fi dina smartphone nganggo Exynos BRP. Ieu tiasa ngirangan kualitas sauran sora sareng ngalambatkeun sambungan sauran, tapi moal aya pangaruhna kana laju sareng kualitas aksés internét. Dugi ka sékrési firmware anyar, éta bakal ngajagaan alat tina kamungkinan hacks, sanaos sababaraha fungsi anu leungit.


#Hacking #jauh #clickless #pikeun #Samsung #Google #jeung #Vivo #smartphone