Një numër dukshëm i madh i telefonave inteligjentë të serisë Samsung Galaxy S të shitura vitet e fundit janë tregtuar me një të metë sigurie që mund t’u ketë lejuar hakerëve, kriminelëve dhe njerëzve të këqij të marrin informacione të ndjeshme nga pajisjet.
Kjo është ajo që u zbulua nga një grup studiuesish nga Universiteti i Tel Avivit, të cilët zbuluan se modele të ndryshme të telefonave Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 dhe Galaxy S21 nuk i regjistronin saktë çelësat e tyre kriptografikë. Kjo mund të kishte lejuar nxjerrjen e informacioneve të tilla si fjalëkalimet dhe të dhëna të tjera të ndjeshme.
Studiuesit shpjeguan se si ishte e mundur që ata të anashkalonin masat e sigurisë të pajisjeve Samsung duke shfrytëzuar të metën. Dokumenti i hartuar nga studiuesit flet për një problem që do të prekte rreth 100 milionë pajisje – domethënë vëllimin e telefonave inteligjentë që Samsung ka dorëzuar në periudhën 2017-2021.
Raporti i studiuesve të Universitetit të Tel Avivit thotë: “Smartfonët Android të bazuar në ARM mbështeten në mbështetjen e harduerit TrustZone për një mjedis ekzekutimi të besuar (TEE) për të zbatuar funksione të ndjeshme ndaj sigurisë. TEE drejton një sistem operativ TrustZone (TZOS). ) të veçantë dhe të izoluar. paralel me Android. Zbatimi i funksioneve kriptografike brenda TZOS u është lënë shitësve të pajisjeve, të cilët krijojnë projekte pronësore pa dokumente.”
Të metat e identifikuara nga studiuesit janë korrigjuar nga Samsung me dy arna të lëshuara në gusht 2021 dhe tetor 2021: atyre që kanë një telefon inteligjent midis atyre që preken me përditësime para këtyre, padyshim që rekomandohen të vazhdojnë sa më shpejt të jetë e mundur me instalimin e arnimeve. . Aktualisht nuk dihet nëse e meta është shfrytëzuar më parë.
“Megjithëse sulmet tona specifike zbatohen vetëm për rreth 100 milionë pajisje të prodhuara nga Samsung, ato ngrenë kërkesën shumë më të përgjithshme të standardeve të hapura dhe të provuara për projektet kritike kriptografike dhe të sigurisë”, përfundojnë studiuesit.
Discussion about this post