アカウント名:
パスワード:
そもそも攻撃対象にLinuxのインストール必須の時点でもう無理
USB keyとかではだめなん?
MSがWSLを標準で有効化すればいいだけの話ですよ
# 同時に鍵なしssh serverのサービスも自動起動するようになる
今回のは、セキュアブート可能なLinuxがいて、Linux向けに脆弱な指紋認証ドライバを提供してることが最低条件。脆弱な実装になってるLinux側で、ハードウェアのもってる情報を書換えてしまうというところがミソなので、WSLじゃなんの意味ないよ。
デュアルブート環境で、Linux側がハックされたあと(今回はLinux側は最初から使える状態で開始だけど)なら、Windows側もハックできるよっていう調査結果。Linux側がハックされてもWindows側のハックは困難だったけど、Windows Helloの指紋認証が有効だと機種によってはLinuxだけなんとかすればいいって感じになったようだ。
Linuxも登録情報の改ざんやMITMに必要なだけで、指紋認証デバイスのドライバやプロトコルスタックが脆弱ってオチみたいですね。Linuxでも問題になるっていうか、Chromebookやスマホにも応用出来そうな感じ……
Surfaceに採用されてるELANがザル過ぎて笑えるで、Surface以外でもELAN採用してるPCは気を付けるか無効化しないと怖いレベル。指紋認証のコネクタ抜いて、USBポートに攻撃デバイス挿せばオッケーとかそりゃないぜ。
セキュリティ研究者がそもそも大事な部分を隠して話題性高めるクズ共だからあんまり信用もしてなかったけど今回はそういうことか特権昇格必須のくだらない脆弱性なんていちいち記事にすんなしょーもない
セキュリティ研究者が主語のデカい話をし始めたら大体話半分未満だと思った方がいい。ShellshockとかHeartbleedに味をしめた連中が、とにかく危険を煽って知名度を得ようとしてくるから。サイドチャネル攻撃がまさにその典型的な例を連発してくる。攻撃はできるけど、達成条件があまりにも現実離れしてるとかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
いつもながら大事な部分を引用してないんだけど (スコア:0)
そもそも攻撃対象にLinuxのインストール必須の時点でもう無理
Re: (スコア:0)
USB keyとかではだめなん?
Re: (スコア:0)
そもそも攻撃対象にLinuxのインストール必須の時点でもう無理
MSがWSLを標準で有効化すればいいだけの話ですよ
# 同時に鍵なしssh serverのサービスも自動起動するようになる
Re:いつもながら大事な部分を引用してないんだけど (スコア:3, 興味深い)
今回のは、セキュアブート可能なLinuxがいて、Linux向けに脆弱な指紋認証ドライバを提供してることが最低条件。
脆弱な実装になってるLinux側で、ハードウェアのもってる情報を書換えてしまうというところがミソなので、WSLじゃなんの意味ないよ。
デュアルブート環境で、Linux側がハックされたあと(今回はLinux側は最初から使える状態で開始だけど)なら、Windows側もハックできるよっていう調査結果。
Linux側がハックされてもWindows側のハックは困難だったけど、Windows Helloの指紋認証が有効だと機種によってはLinuxだけなんとかすればいいって感じになったようだ。
Re: (スコア:0)
Linuxも登録情報の改ざんやMITMに必要なだけで、指紋認証デバイスのドライバやプロトコルスタックが脆弱ってオチみたいですね。
Linuxでも問題になるっていうか、Chromebookやスマホにも応用出来そうな感じ……
Surfaceに採用されてるELANがザル過ぎて笑えるで、Surface以外でもELAN採用してるPCは気を付けるか無効化しないと怖いレベル。
指紋認証のコネクタ抜いて、USBポートに攻撃デバイス挿せばオッケーとかそりゃないぜ。
Re: (スコア:0)
セキュリティ研究者がそもそも大事な部分を隠して話題性高めるクズ共だからあんまり信用もしてなかったけど
今回はそういうことか
特権昇格必須のくだらない脆弱性なんていちいち記事にすんなしょーもない
Re: (スコア:0)
セキュリティ研究者が主語のデカい話をし始めたら大体話半分未満だと思った方がいい。
ShellshockとかHeartbleedに味をしめた連中が、とにかく危険を煽って知名度を得ようとしてくるから。
サイドチャネル攻撃がまさにその典型的な例を連発してくる。攻撃はできるけど、達成条件があまりにも現実離れしてるとかね。