サムスンは、重大なセキュリティ上の欠陥を抱えたスマートフォンを 1 億台以上出荷しています。

テルアビブ大学のコンピュータセキュリティ研究者らは、サムスンが重大なセキュリティ上の欠陥を抱えたまま1億台以上のスマートフォンを出荷していたことを発見した。実際、約 4 年間、Galaxy の暗号化キーの管理には重大な脆弱性が存在し、攻撃者がリモートから暗号キーをすべて回復できるようになっていました。

クレジット: アンスプラッシュ

そしてサムスンは依然としてGalaxy S22タッチスクリーンのディスプレイ問題への対応に追われている, テルアビブ大学のコンピュータセキュリティ研究者は、驚くべき発見をしました。実際、彼らは、2018 年以降、つまり S8 の発売以降にリリースされた Galaxy シリーズのすべてのスマートフォンに重大なセキュリティ上の欠陥が存在することに気づきました。

具体的には、この脆弱性は次の場所に隠されていました。TrustZoneの実装。これは、特に暗号化金庫として機能する安全な実行スペースです。彼女は制作、管理、暗号化キーの操作一部の Android アプリで使用できるもの。

ただし、TrustZone の実装に使用される AES-GCM アルゴリズムの初期化パラメーターに明らかにエラーがありました。この失敗により、攻撃者があなたのスマートフォンを制御することにも成功しました。デバイスによって生成されたすべての暗号化キーを回復できます。簡単に悪用できる欠陥S10S20などS21、いくつかのテストを実施した後、S8とS9でも同様です。

Samsung Galaxy に 4 年前からある重大な欠陥

これらの欠陥によって引き起こされるリスクは何ですか?最大の危険を代表するのは、ハッカーが Google の「セキュア キー インポート」機能をバイパスできる機能。実際、マウンテン ビュー会社はこのシステムを使用して、安全なキーをユーザーのスマートフォンと安全に共有しています。特に Google Pay にあるキー。ご想像にお任せしますハッカーがこれらの暗号化キーを所持していた場合に、あなたの銀行口座に損害を与える可能性があります。

幸いなことに、サムスンはこの欠陥の存在を認識しており、メーカーは 2021 年 8 月に S8 で発生したこのエラーを修正しました。いずれにせよ、このような重大な欠陥がサムスンのようなメーカーの警戒を何年も逃れることができると知ると、常に心配になります。

ソース :Eprint アーカイブ レポート