Samsung a livrat peste 100 de milioane de smartphone-uri cu un defect de securitate. Potrivit unei analize a experților, o problemă în sistemul de stocare a parolelor criptografice a permis accesul neautorizat în telefoane. Descoperirea este importantă pentru întreaga industrie de telefonie mobilă. Samsung a răspuns imediat acestei sesizări.
În primul rând este o informație importantă pentru utilizatorii de smartphone-uri Samsung Galaxy. Problema de securitate asupra căreia cercetătorii de la Universitatea Tel Aviv din Israel atrag atenția afectează peste 100 de milioane de dispozitive din seria Galaxy S8, Galaxy S9, Galaxy S10, seria Galaxy S20 și Galaxy S21. Problema descoperită a fost raportată imediat companiei Samsung.
Samsung a intervenit cu mai multe actualizări de securitate
Conform WinFuture, Samsung a reacționat urgent cu un patch de securitate inițial în august 2021 și apoi a remediat o altă problemă cu o actualizare în octombrie 2021. De asemenea, Samsung a făcut și unele recomandări pentru utilizatori acestor telefoane. Dacă familiile de dispozitive menționate sunt încă folosite cu un patch de securitate vechi, este recomandabil să efectuați actualizările relevante. Dacă Samsung nu mai oferă asistență, este recomandabil să căutați ROM-uri personalizate adecvate de la furnizori terți, care sunt adesea furnizate cu actualizări de securitate pentru o perioadă mai lungă de timp.
Tel Aviv-Jaffa cu o populație de ~460.000 de locuitori, este centrul economic și tehnologic din Israel. Este al doilea oraș ca mărime după Ierusalim. În limba ebraică „Tel” înseamnă deal și „Aviv” primăvară = Dealul Primăverii.
Problema descoperită de cercetătorii de la Universitatea Tel Aviv nu afectează numai dispozitivele Galaxy. După cum explică cercetătorii în domeniul securității la rubrica „Samsung’s TrustZone Keymaster Design”, smartphone-urile Android bazate pe ARM se bazează pe așa-numitul sistem „TrustZone” pentru a implementa funcții legate de securitate. Paralel cu Android, sistemul de operare TrustZone (TZOS) poate fi rulat într-un mediu securizat (Trusted Execution Environment, pe scurt TEE).
„Implementarea funcțiilor criptografice în cadrul TZOS este lăsată în seama producătorilor de dispozitive care dezvoltă modele proprietare, nedocumentate”. Au spus cercetătorii de la Universitatea din Tel Aviv. Samsung a făcut „erori grave de proiectare” în această implementare,
Raportul se concentrează pe atacuri specifice care afectează numai dispozitivele Samsung, dar aduce la lumină și o problemă mai mare. Conform cercetătorilor demonstrează nevoia mult mai generală de standarde deschise și dovedite pentru design-uri criptografice legate de securitate„.