AppleInsider didukung oleh audiens dan dapat memperoleh komisi sebagai Rekanan Amazon dan mitra afiliasi untuk pembelian yang memenuhi syarat. Kemitraan afiliasi ini tidak memengaruhi konten editorial kami.
Samsung dilaporkan telah mengirimkan setidaknya 100 juta smartphone Android dengan kelemahan keamanan yang memungkinkan penyerang mengekstrak informasi sensitif dan terenkripsi dari perangkat.
Kelemahan, ditemukan oleh peneliti di Universitas Tel Aviv, adalah masalah khusus dengan cara perangkat Samsung Galaxy tertentu menyimpan kunci kriptografi di sistem ARM TrustZone. Ini memengaruhi model Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20, dan Galaxy S21.
TrustZone adalah teknologi yang digunakan untuk melindungi informasi sensitif dengan perangkat keras yang mengisolasinya dari sistem operasi utama. Pada perangkat Samsung, TrustZone Operating System (TZOS) berjalan bersama Android dan melakukan tugas keamanan sensitif dan fungsi kriptografi yang disimpan terpisah dari aplikasi normal.
Kerentanan memiliki implikasi luas bagi pengguna. Penyerang dapat menggunakan kelemahan tersebut untuk mengekstrak informasi sensitif yang biasanya akan dienkripsi, seperti kata sandi yang disimpan di perangkat. Peneliti Universitas Tel Aviv juga memanfaatkan masalah ini untuk mem-bypass otentikasi dua faktor berbasis perangkat keras.
Namun, para peneliti melaporkan kerentanan terhadap Samsung pada Mei 2021. Pembuat ponsel pintar Korea Selatan itu menambal kelemahan tersebut pada Agustus 2021, yang berarti itu tidak akan lagi memengaruhi perangkat Galaxy yang menjalankan sistem operasi terbaru.
Namun, karena parahnya kelemahan enkripsi, pengguna Android yang memiliki salah satu perangkat yang terpengaruh dan yang belum memperbarui ponsel mereka baru-baru ini harus melakukannya sesegera mungkin.
Para peneliti berencana untuk mengungkapkan temuan mereka dalam makalah di konferensi Real World Crypto dan USENIX Security pada tahun 2022.
