Samsung Galaxy από S8 μέχρι S21 ανύπαρκτη κρυπτογράφηση

Ερευνητές στο Πανεπιστήμιο του Τελ Αβίβ ανακάλυψαν “σοβαρές” ατέλειες σχεδιασμού στην κρυπτογράφηση των Samsung smartphone, που επιτρέπουν σε εισβολείς να αποκτήσουν τα κρυπτογραφικά κλειδιά των συσκευών.

Επιπλέον, οι εισβολείς θα μπορούσαν να εκμεταλλευτούν τα κρυπτογραφικά λάθη της Samsung — υπάρχουν πολλά CVE — για να υποβαθμίσουν τα πρωτόκολλα ασφαλείας μιας συσκευής. Αυτό φυσικά κάνει τα τηλέφωνα ευάλωτα σε επιθέσεις και συγκεκριμένα σε μια πρακτική γνωστή σαν επιθέσεις επαναχρησιμοποίησης IV (initialization vector).galaxy s21

Τα ελαττώματα του σχεδιασμού επηρεάζουν κυρίως συσκευές που χρησιμοποιούν την τεχνολογία TrustZone της ARM. Το TrustZone χωρίζει ένα τηλέφωνο σε δύο μέρη, το Normal world (για την εκτέλεση τακτικών εργασιών, όπως το OS) και το Secure world, που χειρίζεται το υποσύστημα ασφαλείας και όπου βρίσκονται όλοι οι ευαίσθητοι πόροι. Το Secure world είναι προσβάσιμο μόνο σε αξιόπιστες εφαρμογές που χρησιμοποιούνται για λειτουργίες ευαίσθητες στην ασφάλεια, όπως την κρυπτογράφηση.

Ο Matthew Green, αναπληρωτής καθηγητής της επιστήμης των υπολογιστών στο Ινστιτούτο Ασφάλειας Πληροφοριών Johns Hopkins, ανέφερε στο ότι η Samsung ενσωμάτωσε “σοβαρά ελαττώματα” στον τρόπο με τον οποίο τα τηλέφωνά της κρυπτογραφούν βασικό hardware στο TrustZone.

Τα τηλέφωνα της Samsung που κινδυνεύουν αυτή τη στιγμή είναι όλα τα μοντέλα που κυκλοφόρησαν από το Galaxy S8 του 2017 μέχρι το Galaxy S21 του περασμένου έτους.

  Firefox 106.0 λήψη πριν την επίσημη κυκλοφορία

Για περισσότερες πληροφορίες:

threatpost.com
CVE-2021-25444, CVE-2021-25490

Samsung Galaxy,iguru,galaxy s8,galaxy s21

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


5  +  5  =