2021年9月29日消息，佐治亚理工学院的研究人员指出，旨在保护低端手机数据安全的一项措施可能使攻击者能够窃取数据。

他们的论文展示了对两种不同类型的低端 Android 手机（中兴 Zfive 和阿尔卡特理想）的成功攻击。按照标准做法，研究人员在发布结果之前向软件开发人员报告了他们的发现，以便解决问题。

攻击依赖于在距离设备几厘米的范围内放置一个无线电传感器，距离足够近以检测手机处理器无意中发出的微弱无线电波。通过见证在这些信号中传输的单个安全 Web 交易，攻击者可以找出用户的密钥，这是一种用于加密其数据的数字密码形式。

佐治亚理工学院计算机科学教授、该研究的合著者米洛斯·普武洛维奇 (Milos Prvulovic) 说：“这表明，可以在现实条件下进行真正强大的攻击，实际上可以窃取密钥。你有多少次把手机放在机场的桌子上，却没有检查桌子底下有什么？”

幸运的是，研究人员找到了一个相对简单的解决方法。实施此修复程序目前正在进行中，这将很重要。如果研究人员能够弄清楚如何使攻击在高端手机上发挥作用，那么同样的漏洞将出现在数十亿最广泛使用的现代设备上。

从侧面破解手机

秘密密钥或加密密钥通常用于保护用户数据。例如，一旦攻击者可以访问用户的加密密钥，他们就可以伪造他们的“数字签名”并获得对银行数据的访问权限。由于新发现的攻击适用于日常使用的各种手机，预计需要及时修改相关安全标准 RFC 7748。

该攻击的目标是在广泛的在线活动中采用的标准加密过程，例如登录虚拟专用网络 (VPN)、与银行建立安全的网络连接或对数字文档进行电子签名。在此过程中，网络上的两个端点（例如两部电话）必须交换一系列消息以验证彼此的身份。如果他们无法验证他们所说的是谁，那么他们就知道不要发送私人数据。

证明一个人的身份相当于执行某种加密算法。该算法涉及对称为“nonce”的密钥进行一系列操作，该密钥可以表示为二进制数、1 和 0 的序列或“位”。对于手机处理器执行的每项操作，它都会发出微弱的无线电信号，比 Wi-Fi 发射器的信号弱数千倍。这些信号被称为“侧信道”发射，因为它们不是来自电话用于通信的主要信道。

多年前，研究人员意识到这些侧信道发射可能会泄露 nonce 的值。例如，当随机数中的一位为 1 时，加密算法可能需要额外的处理步骤，从而使处理器为这些位发出更持久的信号。通过在处理随机数时跟踪手机发出的较长和较短的发射模式，攻击者可以重建其每个位的值。从那里，他们可以破解用户的加密。

其他研究人员为这个问题发明了一种解决方案，称为“恒定时间”算法。该算法确保处理器对每个位执行相同的操作序列。因此，每个比特的无线电发射是不可区分的，并且随机数无法重建。该算法已编入 RFC 7748 等加密标准中并被广泛采用。

打破恒定时间算法

在新的工作中，研究人员发现了恒定时间算法的一个问题。为每个位执行的一个特定操作，称为“条件交换”，具有告密特征。当对值为 1 的位执行操作时，处理器会发出稍强的无线电信号。研究人员意识到，如果攻击者可以在此操作期间监听排放，则每次发生时，他们都可以确定随机数。

困难的部分是弄清楚他们是否可以专注于有条件交换的特定无线电特征，隐藏在许多其他发射序列中。此外，由于现代手机的高处理速度，条件交换的无线电签名仅持续很短的持续时间。但是，事实证明，它是恒定时间算法——旨在对抗侧信道攻击——它首先允许攻击起作用。

研究人员的关键是仔细观察手机的辐射。由于采用恒定时间算法，这些排放非常有规律。每次电话处理一点时，都会发生相同的一般排放模式。因此，研究人员可以自动化挑选与条件交换相对应的微小排放物的过程，就像通过观察足够多的火车车厢经过来学习在快速移动的火车车厢上发现一个小标志一样。从那里，研究人员可以测量排放的强度，以确定每个位是零还是一，从而重建整个随机数。

这种攻击非常有效，以至于研究人员发现他们只需要监听一个安全交易就可以窃取手机的密钥。

“只要有人能把探头或天线放在足够近的地方，”Prvulovic 说：“我们现在就可以拿到你的钥匙。”

为了解决这个问题，研究人员修改了恒定时间算法，以便与条件交换对应的信号具有相同的强度，而不管比特的值如何。在开发人员将此修复程序实施到 OpenSSL 等加密库中后，恒定时间算法应该再次安全。