{"id":214734,"date":"2023-06-14T12:59:50","date_gmt":"2023-06-14T10:59:50","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=214734"},"modified":"2023-06-14T13:00:39","modified_gmt":"2023-06-14T11:00:39","slug":"videoaufnahmen-von-status-leds-geben-sicherheitsschluessel-preis","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/videoaufnahmen-von-status-leds-geben-sicherheitsschluessel-preis-214734\/","title":{"rendered":"Videoaufnahmen von Status-LEDS geben Sicherheitsschl\u00fcssel preis"},"content":{"rendered":"

Ein Team der israelischen Ben-Gurion-Universit\u00e4t des Negev (BGU) hat eine beeindruckende Studie ver\u00f6ffentlicht<\/a>. Zusammengefasst l\u00e4sst sich sagen, dass man die geheimen Sicherheitsschl\u00fcssel von Ger\u00e4ten allein durch eine Videoaufnahme von deren Statusleuchten ermitteln kann.<\/p>\n

\"Video<\/a><\/p>\n

Die Wissenschaftler demonstrieren ihre Erkenntnisse anhand von zwei Beispielen. Zun\u00e4chst wurde der 256 Bit lange ECDSA-Schl\u00fcssel<\/a> einer Chipkarte wiederhergestellt, indem eine mit dem Internet verbundene und 16 Meter entfernte Sicherheitskamera \u00fcbernommen und deren Bilder entsprechend ausgewertet wurden. Im zweiten Fall wurde der 378 Bit lange SIKE-Schl\u00fcssel<\/a> eines Samsung Galaxy S8 mithilfe von mit einem iPhone 13 Max angefertigten Videoaufnahmen offengelegt. Hier hat es sogar gen\u00fcgt, die Status-LED eines mit dem selben USB-Hub wie das Smartphone verbundenen Logitech-Lautsprechers zu analysieren.<\/p>\n

\u00dcberwachungskamera oder iPhone-Video gen\u00fcgen<\/h2>\n

Wie die beiden Beispiele zeigen, sind f\u00fcr die Auswertung keine speziellen Kameras oder eine extreme N\u00e4he zum Zielobjekt n\u00f6tig. Die Analyse erfolgt mithilfe von bildf\u00fcllenden Videoausschnitten der jeweiligen LED, wobei unter anderem die mit den Leistungsschwankungen bei der Nutzung der Ger\u00e4te verbundenen Farbschwankungen ausgewertet werden.<\/p>\n

Als Problem sehen die Forscher allerdings weniger die LED-Anzeige selbst, die Schwachstellen bef\u00e4nden sich zun\u00e4chst einmal in den verwendeten kryptografischen Bibliotheken. Die Statusleuchten w\u00fcrden allerdings die f\u00fcr die Ausnutzung der visuellen Schwachstelle ben\u00f6tigte Infrastruktur bereitstellen.<\/p>\n

Die Vorgehensweise und auch die erlangten Ergebnisse finden sich im unten eingebetteten Video ausf\u00fchrlich dokumentiert. Dabei merken die Entwickler an, dass es sich bei den gezeigten Ger\u00e4ten nur um stellvertretende Beispiele handelt und man davon ausgehen m\u00fcsse, dass auch weitere Produkte unter dieser Schwachstelle leiden.<\/p>\n