100 miliona Samsung pametnih telefona ima ozbiljan bezbednosni nedostatak
Mobilni telefoni, 03.03.2022, 11:00 AM

Grupa naučnika sa Univerziteta u Tel Avivu objavila je detalje o ozbiljnim nedostacima u dizajnu Samsung pametnih telefona koje je otkrila sredinom 2021. godine, a koje je kompanija popravila do oktobra 2021. Međutim, detalji o tome objavljeni su tek prošle nedelje. Greške o kojima je reč mogle su da ugroze otprilike 100 miliona Samsungovih Android pametnih telefona.
Izraelski istraživači Alon Šakevski, Ejalu Ronen i Avišai Vul su otkrili da neki Samsung Galaxy pametni telefoni imaju velike bezbednosne nedostatke koji otkrivaju šifrovane ključeve i omogućavaju napadačima da izvrše „trivijalno dešifrovanje“.
Ranjivosti su označene kao CVE-2021-25444 i CVE-2021-25490. Uređaji za koje je utvrđeno da su izloženi riziku su vodeći modeli kompanije, uključujući Samsung Galaxy S21 i S20, i neki od njenih starijih modela pametnih telefona, kao što su S8, S9 i S10.
Greške koje su otkrivene u hardverskoj funkciji za šifrovanje Samsung Galaxy pametnih telefona mogle su omogućiti napadačima da izvuku tajne kriptografske ključeve. Nedostaci su proistekli iz kriptografskog dizajna i načina na koji je implementiran hardverski podržan Keystore u gore pomenutim Samsung Galaxy modelima.
Na Android uređajima, ovo skladište ključeva je sistem koji omogućava kreiranje i čuvanje kriptografskih ključeva unutar pouzdanog okruženja izvršavanja (Trusted Execution Environments ili TEEs), što otežava njihovo izdvajanje sa uređaja na način koji sprečava operativni sistem da im direktan pristupi. TEE-ovi su bezbedne zone stvorene da obezbede izolovano okruženje za izvršavanje pouzdanih aplikacija (Trusted Applications, TA) za obavljanje važnih zadataka vezanih za bezbednost radi održavanja integriteta i poverljivosti podataka.
Greška je omogućavala da Android Keystore izlaže API-je kao Keymaster TA i izvrši kriptografske operacije, kao što je generisanje bezbednih ključeva, njihovo skladištenje i korišćenje za digitalno šifrovanje i potpisivanje, u ovom novom okruženju.
Izveštaj ukazuje na to da bi bezbednosni nedostaci otkriveni u Samsung Galaxy modelima mogli obezbediti napadačima priliku da dobiju root privilegije i dođu do hardverski zaštićenih privatnih ključeva i podataka koje čuva TEE.
Istraživači sa Univerziteta u Tel Avivu obavestili su Samsung o svom otkriću, a bagovi su ispravljeni putem bezbednosnih ažuriranja koja su isporučena u avgustu i oktobru 2021. Detalji o tome će biti prezentovani na USENIX simpozijumu o bezbednosti koji će biti održan u avgustu ove godine.

Izdvojeno
Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje
Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje
U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute
.png)
Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje
Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje
Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje
Pratite nas
Nagrade