Новая уязвимость, называемая DUHK (Don’t use hard-coded keys), ставит учетные данные пользователей криптообменников под угрозу.
Исследователи из Университета Пенсильвании и Университета Джона Хопкинса обнаружили новую уязвимость, которая может быть использована для компрометации ключей шифрования веб-сайтов. Потенциально эта уязвимость также ставит под угрозу регистрационные данные пользователей криптообменников. Об этом сообщает BitsOnline.
Уязвимость DUHK была обнаружена криптографами Надей Хеннингер, Шэном Кони и Мэтью Грин. Его источник называется ANSI X9.31 RNG, алгоритмом генерации псевдослучайных чисел (PRNG), который использовался в многочисленных онлайн-продуктах за последние 30 лет, включая создание ключей шифрования для VPN-подключений и сеансов браузера, содержащих учетные данные, платежной и другой информации .
Как выяснили исследователи, когда аппаратные и программные продукты используют ANSI X9.31 и жестко закодированный исходный ключ, злоумышленник имеет возможность расшифровывать данные, проходящие через уязвимое устройство.
В январе 2016 года Федеральный стандарт обработки информации (FIPS), агент, ответственный за разработку стандартов компьютерной безопасности в США, удалил из своих списков ANS X9.31 RNG, назвав одной из причин некачественное шифрование.
Исследователи также отмечают, что, хотя атака DUHK не так проста в применении, осуществить на практике ее возможно. Таким образом, используя DUHK, современный компьютер может забрать основной ключ шифрования всего за четыре минуты. В своем отчете специалисты представили список продуктов, использующих ANSI X9.31 и жесткий ключ семенного ключа. Список, в частности, включает решения от Cisco и TechGuard.
Уязвимость не нацелена непосредственно на пользователей криптообменников, но может использоваться хакерами для компрометации ключей шифрования и использования их для доступа к конфиденциальной информации пользователя, включая регистрационные данные, данные банковского счета и т. д.