AppleInsider wird von seinen unterstützt Zielgruppe und können als Amazon Associate und Affiliate-Partner Provisionen für qualifizierte Käufe verdienen. Diese Affiliate-Partnerschaften haben keinen Einfluss auf unsere redaktionellen Inhalte.
Samsung hat Berichten zufolge mindestens 100 Millionen Android-Smartphones mit einer Sicherheitslücke ausgeliefert, die es Angreifern ermöglicht haben könnte, vertrauliche und verschlüsselte Informationen von den Geräten zu extrahieren.
Der Fehler, entdeckt von Forschern der Universität Tel Aviv, ist ein spezifisches Problem bei der Vorgehensweise Bestimmte Samsung Galaxy-Geräte speichern kryptografische Schlüssel im ARM TrustZone-System. Betroffen sind die Modelle Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 und Galaxy S21.
TrustZone ist eine Technologie, die verwendet wird, um vertrauliche Informationen durch Hardware zu schützen, die sie vom primären Betriebssystem isoliert. Auf Samsung-Geräten läuft das TrustZone Operating System (TZOS) neben Android und führt sensible Sicherheitsaufgaben und kryptografische Funktionen aus, die von normalen Anwendungen getrennt sind.
Die Schwachstelle hat weitreichende Auswirkungen auf Benutzer. Ein Angreifer könnte den Fehler nutzen, um vertrauliche Informationen zu extrahieren, die normalerweise verschlüsselt wären, wie z. B. auf einem Gerät gespeicherte Passwörter. Die Forscher der Universität Tel Aviv nutzten das Problem auch, um die hardwarebasierte Zwei-Faktor-Authentifizierung zu umgehen.
Die Forscher meldeten die Schwachstelle jedoch im Mai 2021 an Samsung. Der südkoreanische Smartphone-Hersteller hat den Fehler im August 2021 gepatcht, was bedeutet, dass Galaxy-Geräte, auf denen das neueste Betriebssystem ausgeführt wird, nicht mehr betroffen sein sollten.
Aufgrund der Schwere des Verschlüsselungsfehlers sollten Android-Nutzer, die eines der betroffenen Geräte besitzen und ihr Telefon in letzter Zeit nicht aktualisiert haben, dies jedoch so schnell wie möglich tun.
Die Forscher planen, ihre Ergebnisse in einem Papier auf den Konferenzen Real World Crypto und USENIX Security im Jahr 2022 zu veröffentlichen.