研究人员利用旁路攻击窃取Android和iOS上的密钥

以色列特拉维夫大学的研究人员利用旁路攻击（PDF），成功从Android和iOS设备上窃取到用于加密比特币钱包、Apple Pay账号和其他高价值资产的密钥。研究人员攻击的是常用的椭圆曲线数字签名加密算法，利用目标设备旁边的磁探针去测量设备在执行加密操作时泄露的电磁辐射，从中提取出加密重要数据的密钥。研究人员称他们能完整提取出运行在iOS设备上的OpenSSL和 CoreBitcoin签名密钥，部分提取出Android设备上的 OpenSSL密钥。受影响的iOS系统主要是旧版本—— 7.1.2 到8.3，较新的9.x不受影响； 1.0.x 和1.1.x 版本的OpenSSL都受到影响。研究人员已经通知了OpenSSL维护者，维护者表示硬件旁路攻击不包含在他们的威胁模型中。