Найдена уязвимость,которая может навредить пользователям криптообменников
Новая уязвимость, называемая DUHK (Don’t use hard-coded keys), ставит учетные данные пользователей криптообменников под угрозу.
Исследователи из Университета Пенсильвании и Университета Джона Хопкинса обнаружили новую уязвимость, которая может быть использована для компрометации ключей шифрования веб-сайтов. Потенциально эта уязвимость также ставит под угрозу регистрационные данные пользователей криптообменников. Об этом сообщает BitsOnline.
Уязвимость DUHK была обнаружена криптографами Надей Хеннингер, Шэном Кони и Мэтью Грин. Его источник называется ANSI X9.31 RNG, алгоритмом генерации псевдослучайных чисел (PRNG), который использовался в многочисленных онлайн-продуктах за последние 30 лет, включая создание ключей шифрования для VPN-подключений и сеансов браузера, содержащих учетные данные, платежной и другой информации .
Как выяснили исследователи, когда аппаратные и программные продукты используют ANSI X9.31 и жестко закодированный исходный ключ, злоумышленник имеет возможность расшифровывать данные, проходящие через уязвимое устройство.
В январе 2016 года Федеральный стандарт обработки информации (FIPS), агент, ответственный за разработку стандартов компьютерной безопасности в США, удалил из своих списков ANS X9.31 RNG, назвав одной из причин некачественное шифрование.
Исследователи также отмечают, что, хотя атака DUHK не так проста в применении, осуществить на практике ее возможно. Таким образом, используя DUHK, современный компьютер может забрать основной ключ шифрования всего за четыре минуты. В своем отчете специалисты представили список продуктов, использующих ANSI X9.31 и жесткий ключ семенного ключа. Список, в частности, включает решения от Cisco и TechGuard.
Уязвимость не нацелена непосредственно на пользователей криптообменников, но может использоваться хакерами для компрометации ключей шифрования и использования их для доступа к конфиденциальной информации пользователя, включая регистрационные данные, данные банковского счета и т. д.
- Новый токен, распространяемый среди инвесторов Terra, ребрендирован как Luna
- Благодаря наноспутникам майнинг криптовалют может отойти в прошлое
- Биткоин установил абсолютное доминирование в криптовселенной
- MercadoLibre и Globant: есть ли будущее у криптоинвестиций?
- NFT-мошенники обманывают пользователей для реализации преступных схем
- Бутерин больше не миллиардер
- Ethereum-киты охотятся за Shiba Inu
- Гибель Terra вывела из DeFi-сектора $83 миллиарда
- Геймеры получат Ethereum-кошелек от GameStop
- DeFi-адепты не сдаются даже после краха Terra