AppleInsider è supportato dal suo pubblico e può guadagnare commissioni come Associato Amazon e partner affiliato su acquisti idonei. Queste partnership di affiliazione non influenzano il nostro contenuto editoriale.
Samsung avrebbe spedito almeno 100 milioni di smartphone Android con un difetto di sicurezza che avrebbe potuto consentire agli aggressori di estrarre informazioni sensibili e crittografate dai dispositivi.
Il difetto, scoperto dai ricercatori dell’Università di Tel Aviv, è un problema specifico del modo in cui alcuni dispositivi Samsung Galaxy memorizzano le chiavi crittografiche nel sistema ARM TrustZone. Interessa i modelli Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 e Galaxy S21.
TrustZone è una tecnologia utilizzata per proteggere le informazioni sensibili isolandole dall’hardware dal sistema operativo principale. Sui dispositivi Samsung, TrustZone Operating System (TZOS) funziona insieme ad Android ed esegue attività di sicurezza sensibili e funzioni crittografiche che vengono mantenute separate dalle normali applicazioni.
La vulnerabilità ha implicazioni ad ampio raggio per gli utenti. Un utente malintenzionato potrebbe utilizzare il difetto per estrarre informazioni riservate che normalmente verrebbero crittografate, come le password archiviate su un dispositivo. I ricercatori dell’Università di Tel Aviv hanno anche sfruttato il problema per aggirare l’autenticazione a due fattori basata su hardware.
I ricercatori, tuttavia, hanno segnalato la vulnerabilità a Samsung nel maggio 2021. Il produttore di smartphone sudcoreano ha corretto il difetto nell’agosto 2021, il che significa che non dovrebbe più interessare i dispositivi Galaxy che eseguono il sistema operativo più recente.
Tuttavia, a causa della gravità del difetto di crittografia, gli utenti Android che hanno uno dei dispositivi interessati e che non hanno aggiornato i loro telefoni di recente dovrebbero farlo il prima possibile.
I ricercatori hanno in programma di divulgare le loro scoperte in un documento alle conferenze di Real World Crypto e USENIX Security nel 2022.
