Mashhur apparat xavfsizlik modullarida zaifliklar aniqlandi
Zaifliklar masofaviy tajovuzkorga qurilma ustidan to’liq nazorat qilish imkonini beradi.
Sovuq kalitli kriptovalyuta hamyonlarini ishlab chiqaruvchi Ledger kompaniyasi mutaxassislari apparat xavfsizligi modullarida (HSM) ular ichida saqlangan maʼlumotlarga masofadan kirish imkonini beruvchi zaifliklarni aniqladi. HSMlar raqamli kalitlar, parollar, PIN kodlar va boshqalar kabi nozik ma’lumotlarni saqlash va boshqarish uchun ajratilgan qurilmalardir. HSMlar ma’lumotlar xavfsizligini ta’minlash uchun shifrlashdan foydalanadilar. Ular odatda kompyuterlar, routerlar kabi tarmoq qurilmalari va USB flesh-disklar uchun olinadigan kartalar shaklida keladi.
AMB banklarda, davlat idoralarida, ma’lumotlar markazlarida, bulut xizmatlarida va telekommunikatsiya kompaniyalarida keng qo’llaniladi. Asosiysi, zamonaviy sovuq hamyonlar asosan apparat xavfsizlik modullaridir.
Ledger tadqiqotchilari Gabriel Kampana va Jan-Baptiste Bédrune yirik, hali oshkor etilmagan ishlab chiqaruvchidan AMB-da bir nechta zaifliklarni aniqladilar, bu uzoqdan, ruxsatsiz tajovuzkorga qurilmani to’liq nazorat qilish imkonini berdi. Ushbu zaifliklardan foydalanib, tajovuzkor masofadan turib shifrlash kalitlari va administrator hisob ma’lumotlarini o’g’irlashi mumkin.
Boshqa narsalar qatorida, tadqiqotchilar «proshivka imzosini tekshirish mexanizmidagi shifrlash xatosidan foydalanishga va o’zgartirilgan proshivkani AMBga yuklashga» muvaffaq bo’lishdi. Ularning so’zlariga ko’ra, ushbu proshivka yangilangandan keyin ham doimiy bo’lib qoladigan orqa eshikni o’z ichiga olgan.
Tadqiqotchilar ishlab chiqaruvchining nomini oshkor qilmasalar ham, Cryptosense mutaxassislari bu Gemalto bo’lishi mumkinligiga ishonishadi.
