A Samsung já enviou cerca de 100 milhões de smartphones com criptografia defeituosa ou fraca
A Samsung faz questão de incluir a segurança Knox em seus smartphones; ela tem até mesmo um site dedicado a https://www.samsungknox.com/en para a plataforma. Supostamente, a Samsung constrói todos os dispositivos Knox "desde o chip de hardware até o chip para isolar, criptografar e proteger seus dados". Entretanto, um trabalho recente de pesquisadores de segurança da Universidade de Tel-Aviv sugere que a plataforma de segurança da Samsung pode não ser tão segura quanto ela afirma. Na verdade, a Samsung pode ter enviado até 100 milhões de smartphones com criptografia defeituosa ou fraca.
ComoO Registrorelatórios, Android smartphones dependem de um Ambiente de Execução Confiável (TEE) que isola a funcionalidade de segurança dos aplicativos regulares. Além disso, os TEEs operam no TrustZone (TZOS), um sistema operacional dedicado longe de Android. Fornecedores individuais implementam as funções criptográficas da TZOS, tais como Samsung, Sony e Xiaomi.
No artigo, os pesquisadores explicam que a Samsung não conseguiu implementar corretamente uma Aplicação Confiável que armazena chaves criptográficas na TZOS. Para referência, a Samsung usa o Keymaster TA para lidar com operações criptográficas, que fala para Android Keystore's Camada de Abstração de Hardware do Keymaster (HAL). O Keymaster TA armazena chaves criptográficas como blobs que encripta usando AES-GCM.
Teoricamente, estas chaves só devem ser legíveis dentro da TEE. Infelizmente para a Samsung, os pesquisadores inverteram a engenharia do Keymaster TA e demonstraram que poderiam as chaves usando um ataque de reuso do Vetor de Inicialização (IV) https://cwe.mitre.org/data/definitions/1204.html. De acordo com os pesquisadores, o carro-chefe da Samsung Galaxy S smartphones da Galaxy S8 são afetados, incluindo a série Galaxy S21 do ano passado.
Os pesquisadores acrescentam que a fraca criptografia da Samsung lhes permitiu contornar o Google Secure Key Import e o FIDO2-WebAuthn. Em resumo, o desvio lhes permitiu autenticação em um site protegido pela aplicação Android StrongKey. Aparentemente, a Samsung já respondeu ao trabalho do pesquisador com patches de segurança, tendo sido informada sobre os problemas já em maio de 2021.
Fonte(s)
IACR.org via O Registro & phoneArena, Denis Cherkashin - Crédito de imagem
Os Top 10
» Os Top 10 Portáteis Multimídia
» Os Top 10 Portáteis de Jogos
» Os Top 10 Portáteis Leves para Jogos
» Os Top 10 Portáteis Acessíveis de Escritório/Empresariais
» Os Top 10 Portáteis Premium de Escritório/Empresariais
» Os Top 10 dos Portáteis Workstation
» Os Top 10 Subportáteis
» Os Top 10 Ultrabooks
» Os Top 10 Conversíveis
» Os Top 10 Tablets
» Os Top 10 Smartphones
» A melhores Telas de Portáteis Analisadas Pela Notebookcheck
» Top 10 dos portáteis abaixo dos 500 Euros da Notebookcheck
» Top 10 dos Portáteis abaixo dos 300 Euros