iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 413 Artikel

Imposantes Forschungsergebnis

Videoaufnahmen von Status-LEDS geben Sicherheitsschlüssel preis

Artikel auf Mastodon teilen.
38 Kommentare 38

Ein Team der israelischen Ben-Gurion-Universität des Negev (BGU) hat eine beeindruckende Studie veröffentlicht. Zusammengefasst lässt sich sagen, dass man die geheimen Sicherheitsschlüssel von Geräten allein durch eine Videoaufnahme von deren Statusleuchten ermitteln kann.

Video Based Crypto Analysis

Die Wissenschaftler demonstrieren ihre Erkenntnisse anhand von zwei Beispielen. Zunächst wurde der 256 Bit lange ECDSA-Schlüssel einer Chipkarte wiederhergestellt, indem eine mit dem Internet verbundene und 16 Meter entfernte Sicherheitskamera übernommen und deren Bilder entsprechend ausgewertet wurden. Im zweiten Fall wurde der 378 Bit lange SIKE-Schlüssel eines Samsung Galaxy S8 mithilfe von mit einem iPhone 13 Max angefertigten Videoaufnahmen offengelegt. Hier hat es sogar genügt, die Status-LED eines mit dem selben USB-Hub wie das Smartphone verbundenen Logitech-Lautsprechers zu analysieren.

Überwachungskamera oder iPhone-Video genügen

Wie die beiden Beispiele zeigen, sind für die Auswertung keine speziellen Kameras oder eine extreme Nähe zum Zielobjekt nötig. Die Analyse erfolgt mithilfe von bildfüllenden Videoausschnitten der jeweiligen LED, wobei unter anderem die mit den Leistungsschwankungen bei der Nutzung der Geräte verbundenen Farbschwankungen ausgewertet werden.

Als Problem sehen die Forscher allerdings weniger die LED-Anzeige selbst, die Schwachstellen befänden sich zunächst einmal in den verwendeten kryptografischen Bibliotheken. Die Statusleuchten würden allerdings die für die Ausnutzung der visuellen Schwachstelle benötigte Infrastruktur bereitstellen.

Die Vorgehensweise und auch die erlangten Ergebnisse finden sich im unten eingebetteten Video ausführlich dokumentiert. Dabei merken die Entwickler an, dass es sich bei den gezeigten Geräten nur um stellvertretende Beispiele handelt und man davon ausgehen müsse, dass auch weitere Produkte unter dieser Schwachstelle leiden.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
14. Jun 2023 um 12:59 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    38 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Da wird einigen Entwicklern jetzt wahrscheinlich ein bisschen warm werden…

  • Wow. Mein erster Gedanke: „Mit ca.50 Bildern je Sekunde ist da nicht viel zu machen!“ Aber den Rolingshutter zu nutzen – Hut ab, einfach genial.

  • Wenn heute doch nur der 1. April wäre. Faszinierend und beängstigend zugleich

    • Dachte ich auch zuerst – ich frage mich nur wozu überhaupt eine Status LED eines Gerätes auf einen Schlüssel reagiert also was in der Schaltung dafür sorgt dass solche Informationen dadurch ungewollt visualisiert werden.

      • Der Grund könnte folgender sein:
        Wenn dein Gerät den Schlüssel benutzt braucht das u.U. ordentlich Rechenpower. Das führt zu Schwankungen in der Stromversorgung, egal ob innerhalb des Gerätes oder sogar an einem Lautsprecher welcher am selben USB Hub hängt weil der Hub nicht so schnell Strom nachschiebt.
        Und dann flackern eben die Status-LEDs. Und dieses Flackern hat ein bestimmtes Muster das die Freunde der Uni analysieren.
        So oder so ähnlich wird das funktionieren.

        Allerdings wäre ich, selbst als Technik- und Elektronikaffiner nicht darauf gekommen das sowas funktionieren könnte.

        Mich macht das etwas unruhig…

      • Evtl. muss in meiner Ausführung „Strom“ durch „Spannung“ ersetzt werden. ;-)

      • Stand so im Text

      • Wo denn? Das kann man sich vielleicht denken wenn man mit Elektronik zu tun hat aber das stand so nicht im Text.

  • Das heißt das Gerät, welches man auslesen will (salopp gesagt) muss eine Status LED haben? Dann ist nen iPhone Safe, weil es keine Status LED hat?

  • Finde das mehr als abstrus und ich muss sagen mit meinen 37 Jahren kommen ich langsam der Technik nicht mehr hinterher

  • Das Display ist dich im Prinzip auch nur eine Ansammlung von LEDs … betrifft es dann jedes Gerät mit Display?

    • Wenn ich da gerät habe brauche ich es ja nur öffnen. Im Grunde sind viele Stromkreise dafür anfällig. Kondensatoren können, da etwa abfangen. Aber am Ende muss die Software anderes arbeiten. Spannende Sache.

  • Eigentlich nur Bahnhof verstanden mit der Erkenntnis : oh oh, vielleicht sollte man die StatusLEDs zukleben

    • Am besten auch alle Bildschirme zukleben, sicher ist sicher.

    • Na zumindest die von dem Gerät, was grad etwas entschlüsselt und sicherstellen, dass sonst nix angeschlossen ist. :D

      mir hat mal jemand erzählt, dass die Bundeswehr angeblich schon lange zumindest Eingaben am PC rein durch (ich glaub) elektromagnetischen Strahlung bzw. Änderung auslesen kann – und zwar aus mehreren hundert Metern Entfernung und durch Mauern.

      k.A. ob das wirklich stimmt. Geht ja auch ein bisschen in die Richtung.

      der Computerclub auf WDR damals konnte das zumindest bei Röhrengeräten zeigen / nachstellen, die dann halt beim Anzeigen der Eingaben auf dem Bildschirm anders „strahlten“ , aber nur in direkter Nähe.

  • Das sind doch krude Verschwörungs theoretische Beweise aber zum Glück hat man ja gar nix zu verbergen ;)

    • Du könntest Recht haben.

      Vieles, was auf eine Videokamera zutrifft, passt auch zu Enten:
      Enten haben ein sehr wasserdichtes Federkleid. Die VKs sind meistens auch Wasserdicht.
      Enten sind Allesfresser. Die Linse nimmt auch alles, was sie vorgesetzt bekommt.
      Enten lieben Köperpflege. Besonders die Linse, sonst sieht man bald nichts mehr.
      Sie sind tag- und nachtaktive Tiere. Yep.

  • Wer erinnert sich an die Sache mit den Nadeldruckern?!
    Ich sag nur Geil und Hut ab!

  • Gab es in diversen Varianten schon häufiger in den letzten 2 Jahrzehnten. Ich will da nichts klein reden aber es wundert immer wieder das solche „Lücken“ auftauchen. Zumindestens im Umfeld von Sicherheitslösungen sollten diese Ansätze doch bekannt sein.

  • Und SIKE ist Quatencomputer sicher… dann kommt einer mit sowas daher :-)

  • Man wird uns aber auch nicht alles verraten! Ein paar Cheats brauchen die Geheimdienste ja auch noch. ;o)

  • Die Isrealis haben es offensichtlich echt drauf. Gab es da nicht mal Forscher, die per Lautsprecher und Mikrofon einen Computer übernehmen konnten?

  • Echt jetzt?!? Und die Geräte beschäftigen sich ausschließlich mit dem Sicherheitsschlüssel, während sie die LEDs zum Flackern bringen?!? Gerade an einem Hub muss sich das doch mit zig anderen Signalen überlagern. Inzwischen ist vieles möglich, was ich mir nicht mal vorstellen könnte. Aber hier bin ich doch geneigt zu schreiben „nein, das geht so nicht“.
    Die hohe Abtastrate über den Rolling Shutter Effekt klingt auch erst mal logisch. Bei der Webcam aus 16m Entfernung bleiben dann aber auch nicht mehr viele Pixelreihen übrig, auf denen die LED auftaucht. Daher ist hier die Auflösung dann deutlich reduziert.
    Ich glaube also, hier hat uns eine KI einen Streich gespielt. Das ist das eigentlich Beängstigende an dem Video :-o.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38413 Artikel in den vergangenen 6253 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven