Quando Sua Tela Espiona Você: O Ataque de Canal Lateral no Android

Resumo:

O Bug: Uma vulnerabilidade de canal lateral em nível de hardware permite que apps maliciosos no Android "espionem" a tela analisando interações da GPU.
O Impacto: Isso contorna o isolamento de apps, permitindo que atacantes roubem códigos 2FA e frases-semente conforme são exibidos.
A Vulnerabilidade: Depender de "segredos visíveis" (códigos OTP, senhas) é inerentemente falho quando o isolamento de hardware falha.
A Solução: A Zelf usa ZK Face Proof para derivar chaves dentro do enclave seguro; chaves nunca são exibidas na tela, tornando a captura de tela inútil.

Confiamos em nossos celulares como cofres seguros. Assumimos que quando abrimos nosso app bancário ou o Google Authenticator, outros apps não podem ver o que está acontecendo.

Estávamos errados.

Conforme reportado por Officer CIA, pesquisadores descobriram uma vulnerabilidade de canal lateral em nível de hardware em dispositivos Android.

O "Espião de Tela"

Esta vulnerabilidade permite que um app malicioso — instalado no mesmo dispositivo — infira o que está sendo exibido na sua tela analisando recursos de hardware compartilhados (como interações da GPU).

O que isso significa?

Aquele código 2FA de 6 dígitos "inviolável" que você acabou de gerar? Roubado.
A frase-semente que você acabou de digitar na sua carteira? Comprometida.
Suas mensagens privadas? Lidas.

Crucialmente, isso contorna o sandbox padrão de "isolamento de apps" no qual o Android se baseia. E pior, o Google supostamente classificou isso como "Inviável" de corrigir no hardware existente.

Por Que "Seu Rosto É Sua Chave" Vence

Este é exatamente o cenário para o qual a Zelf foi construída.

A segurança legada depende de segredos visíveis: senhas, frases-semente, códigos OTP. Se está na sua tela, pode ser capturado, fotografado ou espionado.

A Zelf é diferente.

Chaves Invisíveis: Com a Zelf, sua chave privada nunca é exibida na tela em texto puro. Ela é derivada do seu ZK Face Proof dentro do enclave seguro.
Sem Códigos para Roubar: Você não digita uma senha nem copia um código 2FA. Você simplesmente escaneia seu rosto. Mesmo que um app malicioso esteja observando sua tela, ele não pode "replicar" seu escaneamento facial nem roubar a prova de conhecimento zero gerada dentro do módulo de segurança do hardware.

Vulnerabilidades de hardware sempre existirão. Sua arquitetura de segurança não deveria desmoronar quando elas são descobertas.

Atualize para a Zelf | Entenda a Segurança ZK

Resumo:

O Bug: Uma vulnerabilidade de canal lateral em nível de hardware permite que apps maliciosos no Android "espionem" a tela analisando interações da GPU.
O Impacto: Isso contorna o isolamento de apps, permitindo que atacantes roubem códigos 2FA e frases-semente conforme são exibidos.
A Vulnerabilidade: Depender de "segredos visíveis" (códigos OTP, senhas) é inerentemente falho quando o isolamento de hardware falha.
A Solução: A Zelf usa ZK Face Proof para derivar chaves dentro do enclave seguro; chaves nunca são exibidas na tela, tornando a captura de tela inútil.

Confiamos em nossos celulares como cofres seguros. Assumimos que quando abrimos nosso app bancário ou o Google Authenticator, outros apps não podem ver o que está acontecendo.

Estávamos errados.

Conforme reportado por Officer CIA, pesquisadores descobriram uma vulnerabilidade de canal lateral em nível de hardware em dispositivos Android.

O "Espião de Tela"

O que isso significa?

Aquele código 2FA de 6 dígitos "inviolável" que você acabou de gerar? Roubado.
A frase-semente que você acabou de digitar na sua carteira? Comprometida.
Suas mensagens privadas? Lidas.

Crucialmente, isso contorna o sandbox padrão de "isolamento de apps" no qual o Android se baseia. E pior, o Google supostamente classificou isso como "Inviável" de corrigir no hardware existente.

Por Que "Seu Rosto É Sua Chave" Vence

Este é exatamente o cenário para o qual a Zelf foi construída.

A segurança legada depende de segredos visíveis: senhas, frases-semente, códigos OTP. Se está na sua tela, pode ser capturado, fotografado ou espionado.

A Zelf é diferente.

Chaves Invisíveis: Com a Zelf, sua chave privada nunca é exibida na tela em texto puro. Ela é derivada do seu ZK Face Proof dentro do enclave seguro.
Sem Códigos para Roubar: Você não digita uma senha nem copia um código 2FA. Você simplesmente escaneia seu rosto. Mesmo que um app malicioso esteja observando sua tela, ele não pode "replicar" seu escaneamento facial nem roubar a prova de conhecimento zero gerada dentro do módulo de segurança do hardware.

Vulnerabilidades de hardware sempre existirão. Sua arquitetura de segurança não deveria desmoronar quando elas são descobertas.

Atualize para a Zelf | Entenda a Segurança ZK

Zelf vs Metamask

Zelf vs Trust Wallet

Zelf vs Ledger

Zelf vs Ledger Recover

Zelf Vs Trezor Keep Metal

Resumo:

O "Espião de Tela"

Por Que "Seu Rosto É Sua Chave" Vence

Zelf vs Metamask

Zelf vs Trust Wallet

Zelf vs Ledger

Zelf vs Ledger Recover

Zelf Vs Trezor Keep Metal

Resumo:

O "Espião de Tela"

Por Que "Seu Rosto É Sua Chave" Vence