AppleInsider es compatible con su audiencia y puede ganar una comisión como asociado de Amazon y socio afiliado en compras calificadas. Estas asociaciones de afiliados no influyen en nuestro contenido editorial.
Según los informes, Samsung envió al menos 100 millones de teléfonos inteligentes Android con una falla de seguridad que podría haber permitido a los atacantes extraer información confidencial y cifrada de los dispositivos.
La falla, descubierta por investigadores de la Universidad de Tel Aviv, es un problema específico con la forma en que Ciertos dispositivos Samsung Galaxy almacenan claves criptográficas en el sistema ARM TrustZone. Afecta a los modelos Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 y Galaxy S21.
TrustZone es una tecnología que se utiliza para proteger información confidencial mediante hardware que la aísla del sistema operativo principal. En los dispositivos Samsung, el sistema operativo TrustZone (TZOS) se ejecuta junto con Android y realiza tareas de seguridad confidenciales y funciones criptográficas que se mantienen separadas de las aplicaciones normales.
La vulnerabilidad tiene amplias implicaciones para los usuarios. Un atacante podría usar la falla para extraer información confidencial que normalmente estaría encriptada, como contraseñas almacenadas en un dispositivo. Los investigadores de la Universidad de Tel Aviv también aprovecharon el problema para eludir la autenticación de dos factores basada en hardware.
Sin embargo, los investigadores informaron sobre la vulnerabilidad a Samsung en mayo de 2021. El fabricante de teléfonos inteligentes de Corea del Sur corrigió la falla en agosto de 2021, lo que significa que ya no debería afectar a los dispositivos Galaxy que ejecutan el sistema operativo más reciente.
Sin embargo, debido a la gravedad de la falla de cifrado, los usuarios de Android que tengan uno de los dispositivos afectados y que no hayan actualizado sus teléfonos recientemente deben hacerlo lo antes posible.
Los investigadores planean divulgar sus hallazgos en un artículo en las conferencias Real World Crypto y USENIX Security en 2022.
