Notebookcheck Logo

Samsung ha spedito circa 100 milioni di smartphone con crittografia difettosa o debole

Il Galaxy S21 Ultra è ritenuto essere uno dei dispositivi colpiti. (Fonte: Denis Cherkashin)
Il Galaxy S21 Ultra è ritenuto essere uno dei dispositivi colpiti. (Fonte: Denis Cherkashin)
Secondo quanto riferito, Samsung ha inviato decine di milioni di smartphone con crittografia debole o difettosa. Le stime per il numero di smartphone colpiti potrebbero raggiungere i 100 milioni e includere tutti gli smartphone Galaxy S dal Galaxy S8 in poi. Samsung è stata messa al corrente dei problemi di sicurezza quasi un anno fa.

Samsung fa una grande cosa di includere la sicurezza Knox sui suoi smartphone; ha anche un sito web dedicato alla piattaforma. Presumibilmente, Samsung costruisce ogni dispositivo Knox "dal chip hardware in su per isolare, crittografare e proteggere i vostri dati". Tuttavia, un recente documento dei ricercatori di sicurezza dell'Università di Tel-Aviv suggerisce che la piattaforma di sicurezza di Samsung potrebbe non essere così sicura come sostiene. Infatti, Samsung potrebbe aver spedito fino a 100 milioni di smartphone con crittografia difettosa o debole.

ComeThe Registerriporta, gli smartphone Android si basano su un Trusted Execution Environment (TEE) che isola la funzionalità di sicurezza dalle normali applicazioni. Inoltre, i TEE operano su TrustZone (TZOS), un sistema operativo dedicato lontano da Android. I singoli fornitori implementano le funzioni crittografiche di TZOS, come Samsung, Sony e Xiaomi.

Nel documento, i ricercatori spiegano che Samsung non è riuscita a implementare correttamente una Trusted Application che memorizza le chiavi crittografiche in TZOS. Per riferimento, Samsung utilizza Keymaster TA per gestire le operazioni crittografiche, che parla con Android Keystore's Keymaster Hardware Abstraction Layer (HAL). Keymaster TA memorizza le chiavi crittografiche come blob che cripta usando AES-GCM.

Teoricamente, queste chiavi dovrebbero essere leggibili solo all'interno del TEE. Purtroppo per Samsung, i ricercatori hanno invertito l'ingegneria di Keymaster TA e hanno dimostrato che potrebbero le chiavi usando un attacco di riutilizzo del vettore di inizializzazione (IV) di https://cwe.mitre.org/data/definitions/1204.html. Secondo i ricercatori, gli smartphone di punta di Samsung Galaxy S dal Galaxy S8 in poi, compresa la serie Galaxy S21 dell'anno scorso.

I ricercatori aggiungono che la crittografia debole di Samsung ha permesso loro di bypassare Google Secure Key Import e FIDO2-WebAuthn. In breve, il bypass ha permesso loro l'autenticazione su un sito web protetto dall'applicazione Android StrongKey. A quanto pare, Samsung ha già risposto al lavoro del ricercatore con patch di sicurezza, essendo stato informato dei problemi già nel maggio 2021.

Fonte(i)

IACR.org via The Register & phoneArena, Denis Cherkashin - Credito d'immagine

Please share our article, every link counts!
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2022 03 > Samsung ha spedito circa 100 milioni di smartphone con crittografia difettosa o debole
Alex Alderson, 2022-03- 2 (Update: 2022-03- 2)