100 miliona Samsung pametnih telefona ima ozbiljan bezbednosni nedostatak

Mobilni telefoni, 03.03.2022, 11:00 AM

100 miliona Samsung pametnih telefona ima ozbiljan bezbednosni nedostatak

Grupa naučnika sa Univerziteta u Tel Avivu objavila je detalje o ozbiljnim nedostacima u dizajnu Samsung pametnih telefona koje je otkrila sredinom 2021. godine, a koje je kompanija popravila do oktobra 2021. Međutim, detalji o tome objavljeni su tek prošle nedelje. Greške o kojima je reč mogle su da ugroze otprilike 100 miliona Samsungovih Android pametnih telefona.

Izraelski istraživači Alon Šakevski, Ejalu Ronen i Avišai Vul su otkrili da neki Samsung Galaxy pametni telefoni imaju velike bezbednosne nedostatke koji otkrivaju šifrovane ključeve i omogućavaju napadačima da izvrše „trivijalno dešifrovanje“.

Ranjivosti su označene kao CVE-2021-25444 i CVE-2021-25490. Uređaji za koje je utvrđeno da su izloženi riziku su vodeći modeli kompanije, uključujući Samsung Galaxy S21 i S20, i neki od njenih starijih modela pametnih telefona, kao što su S8, S9 i S10.

Greške koje su otkrivene u hardverskoj funkciji za šifrovanje Samsung Galaxy pametnih telefona mogle su omogućiti napadačima da izvuku tajne kriptografske ključeve. Nedostaci su proistekli iz kriptografskog dizajna i načina na koji je implementiran hardverski podržan Keystore u gore pomenutim Samsung Galaxy modelima.

Na Android uređajima, ovo skladište ključeva je sistem koji omogućava kreiranje i čuvanje kriptografskih ključeva unutar pouzdanog okruženja izvršavanja (Trusted Execution Environments ili TEEs), što otežava njihovo izdvajanje sa uređaja na način koji sprečava operativni sistem da im direktan pristupi. TEE-ovi su bezbedne zone stvorene da obezbede izolovano okruženje za izvršavanje pouzdanih aplikacija (Trusted Applications, TA) za obavljanje važnih zadataka vezanih za bezbednost radi održavanja integriteta i poverljivosti podataka.

Greška je omogućavala da Android Keystore izlaže API-je kao Keymaster TA i izvrši kriptografske operacije, kao što je generisanje bezbednih ključeva, njihovo skladištenje i korišćenje za digitalno šifrovanje i potpisivanje, u ovom novom okruženju.

Izveštaj ukazuje na to da bi bezbednosni nedostaci otkriveni u Samsung Galaxy modelima mogli obezbediti napadačima priliku da dobiju root privilegije i dođu do hardverski zaštićenih privatnih ključeva i podataka koje čuva TEE.

Istraživači sa Univerziteta u Tel Avivu obavestili su Samsung o svom otkriću, a bagovi su ispravljeni putem bezbednosnih ažuriranja koja su isporučena u avgustu i oktobru 2021. Detalji o tome će biti prezentovani na USENIX simpozijumu o bezbednosti koji će biti održan u avgustu ove godine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Analitičari malvera iz kompanije Trend Micro pronašli su u Google Play prodavnici više od 200 Android aplikacija u kojima je sakriven špijunski ma... Dalje

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Bluetooth, NFC i UWB ostaju uključeni čak i kada je iPhone isključen, što bi moglo omogućiti napadačima da pokrenu prethodno učitani malver. H... Dalje

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google planira da ukloni skoro 900.000 „napuštenih" aplikacija iz Google Play prodavnice. Zbog nedavne promene smernica Play prodavnice, Androi... Dalje

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Sve veći broj korisnika Google Chromea za Android u Rusiji prijavljuje greške kada pokušaju da instaliraju najnovije ažuriranje za Googleov veb p... Dalje

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google je najavio da će dodati novu funkciju Chromeovom sistemu automatskog popunjavanja pod nazivom Virtuelni brojevi kartica, koja će vam omoguc... Dalje