تؤثر ثغرة مولدات الأرقام العشوائية على مليارات من أجهزة إنترنت الأشياء

الأرقام التي يجب أن يختارها المولد عشوائيًا ليست دائمًا عشوائية.

تم اكتشاف ثغرة خطيرة في مولدات الأرقام العشوائية للأجهزة المستخدمة في مليارات أجهزة إنترنت الأشياء التي تمنع إنشاء أرقام عشوائية بشكل صحيح ، مما يعرض أمن الأجهزة للخطر ويعرضها لخطر الهجمات الإلكترونية.

كما أوضح خبراء Bishop Fox Dan Petro و Allan Cecil ، فإن الأرقام التي يجب أن يختارها المولد عشوائيًا ليست دائمًا عشوائية.

"في الواقع ، في معظم الحالات ، يتم تعيين الأجهزة كمفاتيح تشفير إلى الصفر أو ما هو أسوأ. وقال الباحثون إن هذا قد يؤدي إلى انهيار أمني كارثي.

يعد إنشاء أرقام عشوائية عملية بالغة الأهمية تستخدم في التشفير ، بما في ذلك إنشاء مفاتيح التشفير والأرقام العشوائية لمرة واحدة والملح. تستخدم أنظمة التشغيل التقليدية مولد رقم عشوائي زائف آمن مشفرًا يستخدم الإنتروبيا المشتقة من بذرة عالية الجودة.

في أجهزة إنترنت الأشياء ، يتم إنشاء الأرقام العشوائية باستخدام مولد أرقام عشوائي حقيقي قائم على الأجهزة على شريحة SoC التي تُستخدم لالتقاط العشوائية من العمليات والظواهر الفيزيائية.

وجد الباحثون أن الطريقة التي تم بها تسمية هذا الجهاز المحيطي كانت معيبة ولاحظوا عدم وجود عمليات تحقق من رمز الخطأ ، مما يجعل الرقم العشوائي الناتج ليس فقط غير عشوائي ، ولكن الأسوأ من ذلك ، يمكن التنبؤ به. والنتيجة هي إنتروبيا غير كافية ، وذاكرة غير مهيأة ، وحتى مفاتيح تشفير تحتوي على أصفار بسيطة.

كما أوضح الباحثون ، يمكن أن تفشل وظيفة HAL لمولد الأرقام العشوائية لعدد من الأسباب ، ولكن الأكثر شيوعًا (والأكثر استخدامًا) هو نقص مصادر الانتروبيا.

"يستقبل الجهاز الإنتروبيا من الكون بطرق مختلفة (على سبيل المثال ، باستخدام أجهزة الاستشعار التناظرية والإشعاع الكهرومغناطيسي) ، لكن هذه المصادر ليست لانهائية. إنهم قادرون فقط على إنتاج عدد معين من البتات العشوائية في الثانية. إذا حاولت استدعاء وظيفة HAL لمولد الأرقام العشوائية عندما لا يكون لها أرقام عشوائية لتمريرها ، فستفشل وستُرجع رمز الخطأ. وبالتالي ، إذا حاول الجهاز الحصول على عدد كبير جدًا من الأرقام العشوائية بسرعة كبيرة ، فستبدأ المكالمات بالفشل "، أوضح الباحثون.

المشكلة فريدة بالنسبة لأجهزة إنترنت الأشياء لأنها لا تملك نظام تشغيل مع واجهة برمجة تطبيقات عشوائية مضمنة (على سبيل المثال / dev / random على أنظمة تشغيل تشبه Unix و BCryptGenRandom على Windows).