100 miliona Samsung pametnih telefona ima ozbiljan bezbednosni nedostatak

Mobilni telefoni, 03.03.2022, 11:00 AM

100 miliona Samsung pametnih telefona ima ozbiljan bezbednosni nedostatak

Grupa naučnika sa Univerziteta u Tel Avivu objavila je detalje o ozbiljnim nedostacima u dizajnu Samsung pametnih telefona koje je otkrila sredinom 2021. godine, a koje je kompanija popravila do oktobra 2021. Međutim, detalji o tome objavljeni su tek prošle nedelje. Greške o kojima je reč mogle su da ugroze otprilike 100 miliona Samsungovih Android pametnih telefona.

Izraelski istraživači Alon Šakevski, Ejalu Ronen i Avišai Vul su otkrili da neki Samsung Galaxy pametni telefoni imaju velike bezbednosne nedostatke koji otkrivaju šifrovane ključeve i omogućavaju napadačima da izvrše „trivijalno dešifrovanje“.

Ranjivosti su označene kao CVE-2021-25444 i CVE-2021-25490. Uređaji za koje je utvrđeno da su izloženi riziku su vodeći modeli kompanije, uključujući Samsung Galaxy S21 i S20, i neki od njenih starijih modela pametnih telefona, kao što su S8, S9 i S10.

Greške koje su otkrivene u hardverskoj funkciji za šifrovanje Samsung Galaxy pametnih telefona mogle su omogućiti napadačima da izvuku tajne kriptografske ključeve. Nedostaci su proistekli iz kriptografskog dizajna i načina na koji je implementiran hardverski podržan Keystore u gore pomenutim Samsung Galaxy modelima.

Na Android uređajima, ovo skladište ključeva je sistem koji omogućava kreiranje i čuvanje kriptografskih ključeva unutar pouzdanog okruženja izvršavanja (Trusted Execution Environments ili TEEs), što otežava njihovo izdvajanje sa uređaja na način koji sprečava operativni sistem da im direktan pristupi. TEE-ovi su bezbedne zone stvorene da obezbede izolovano okruženje za izvršavanje pouzdanih aplikacija (Trusted Applications, TA) za obavljanje važnih zadataka vezanih za bezbednost radi održavanja integriteta i poverljivosti podataka.

Greška je omogućavala da Android Keystore izlaže API-je kao Keymaster TA i izvrši kriptografske operacije, kao što je generisanje bezbednih ključeva, njihovo skladištenje i korišćenje za digitalno šifrovanje i potpisivanje, u ovom novom okruženju.

Izveštaj ukazuje na to da bi bezbednosni nedostaci otkriveni u Samsung Galaxy modelima mogli obezbediti napadačima priliku da dobiju root privilegije i dođu do hardverski zaštićenih privatnih ključeva i podataka koje čuva TEE.

Istraživači sa Univerziteta u Tel Avivu obavestili su Samsung o svom otkriću, a bagovi su ispravljeni putem bezbednosnih ažuriranja koja su isporučena u avgustu i oktobru 2021. Detalji o tome će biti prezentovani na USENIX simpozijumu o bezbednosti koji će biti održan u avgustu ove godine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje