重点关注电子银行、金融科技领域

2019-06-30 19:37字体:
  

  最近的USENIX Security Symposium会议上,来自哥伦比亚大学一支专家团队展示了一种新型攻击方法“CLKscrew”,攻击者可利用现代计算设备电源管理系统(Energy Management System)中的漏洞实施远程攻击,并窃取敏感数据。

  电源管理是现代计算机中的一项重要功能,尤其移动设备。电源管理有助于延长电池寿命,提高便捷性并降低成本,然而设计此类系统并非易事一桩,其中的功效与安全性往往会被忽略。

  专家将ARMv7架构作为研究对象,使用了一款Nexus 6智能手机试验后专家表示,CLKscrew攻击可能也会对其它设备和架构奏效。研究人员分析的电源管理系统使用的是应用广泛的动态电压频率调整(DVFS)技术。

  CLKscrew攻击展示了远程黑客如何将恶意内核驱动加载到目标设备,利用DVFS中的安全漏洞入侵ARM Trustzone(ARM信任区)。

  专家演示了攻击者如何使用这种方法提取ARM Trustzone的加密密钥,并将自签名代码加载到信任区提升特权。

  研究人员认为这类攻击比物理访问设备更有效,因为这类攻击可远程实现,并能绕过物理攻击的诸多要求和限制。

  设计师经常担心的电路元件是功率MOSFET。与市场上其他许多额定值为600V的MOSFET相比,U1中集成功率MOSFET的700V源极可提供额外的裕量。U1采用限流点降低及输入电压升高来限制过载期间的漏电能量。这样可使由R3、R4、C4及D5组成的简单缓冲吸收电路对功率MOSFET提供全面保护。此外,U1中所集成的快速输入过压抑制电路,可在检测到输入电压瞬变时禁止开关。由于能够对输入差模浪涌提供上述双重保护,因此可以省去常用于提供输入保护的金属氧化物压敏电阻(MOV),同时不会降低电源可靠性。(责任编辑:admin)

  研究人员在研究报告中写到,CLKscrew攻击只是冰山一角,电源优化技术中可能存在更多安全漏洞,例如电压与频率岛的分布式控制、近阈值/亚阈值优化等。

  研究人员指出,分析表明简单、单一、零散的修复方式无法完全防止CLKscrew式的攻击。许多设计决定可能会带来攻击风险,换句话讲,根本原因不是具体的硬件或软件漏洞,而是一系列经过深思熟虑、但缺乏安全考量的设计决策。

  重点关注电子银行、金融科技领域,通过企业拜访、资深从业者访谈,电话调查等专业手段获取前沿信息,力求出品最具前瞻性和参考价值的内容。因为专业,所以领先![详细]



产品分类CATEGORY

联系我们CONTACT

全国服务热线:
4006-026-000
地 址:江苏省南京市西善桥南路118号d88尊龙大厦
电 话:4006-026-000
传 真:+86-25-52415096
邮 箱:13254867@qq.com