ultimas noticias de portatiles
Samsung

El cifrado fallido expone millones de teléfonos inteligentes Samsung

La sécurité des smartphones Samsung est mise à mal par un chiffrement bâclé. © Faithie, Adobe Stock

también te interesará


[EN VIDÉO] Kézako: ¿cómo se cifran los datos en Web?
La criptografía es la forma más antigua de encriptación. Hay rastros de su uso hasta el 2000 aC Esta técnica, que aún se utiliza hoy en día, especialmente en la Net, revela sus misterios en video gracias al programa Kézako de Unisciel y la Universidad de Lille 1.

Los algoritmos de cifrado los actuales son duros y deberían soportar cualquier cosa, excepto tal vez un computadora cuántica. Sin embargo, esto solo es cierto mientras las claves de cifrado se mantengan en secreto. Desafortunadamente, eso es lo que Samsung cometí un error. Según investigadores de universidad de tel avivdebido a fallas en su diseño, es posible extraer claves de cifrado de algunos teléfonos inteligentes Para estrenar. Estimaron el número de dispositivos afectados en más de 100 millones.

Los teléfonos inteligentes tienen un mecanismo de {hardware} llamado TrustZone en el procesador BRAZO. Esto le permite crear un entorno de ejecución confiable (TEE), con su propio sistema operativo Sistema operativo TrustZone (TZOS), separado deandroide. Es este el que gestiona las claves de cifrado, y corresponde al fabricante configurarlo. Y ahí es donde está la falla en el móviles Samsung.

La falla está en el nivel de “blobs” que se supone que protegen las claves.

La clave de cifrado de {hardware} se comunica dentro de un “blob”, un elemento protegido por un cifrado basado en una clave, así como un vector de inicialización (IV). Este vector es normalmente un número aleatorio, y permite asegurar que dos mensajes idénticos son distintos cuando están encriptados, evitando así la posibilidad de extrapolar la clave. Sin embargo, en los móviles Samsung, este vector se basa en el identificador y datos delsolicitud que solicitó el cifrado, así como algunos datos del entorno Android.

Debido a esto, los investigadores pudieron obligar al sistema a usar el mismo vector, lo que les permitió acceder al contenido del blob y así obtener la clave de {hardware}. Luego pudieron usar este ataque para eludir Fido2 WebAuthnun método de identificación criptográfico que evita el uso de una contraseña. Así pudieron conectarse a un sitio protegido por la aplicación StrongKey en Android. También lograron eludir la protección de la función. Importación de clave seguraque permite que un servidor comparta de forma segura claves de cifrado con un dispositivo Android. Esta función es utilizada principalmente por Pago de Google… La buena noticia es que es necesario tener acceso privilegiado al dispositivo por otro medio (físicousando otra escapatoria …) para obtener la clave. Sin embargo, una vez que se extrae la clave, se puede usar sin tener acceso al dispositivo.

La falla contenida en un código olvidado en los dispositivos más recientes

Este método de ataque funciona en dispositivos Samsung Galaxy S8 y S9. Los modelos Galaxy S10, S20 y S21 utilizan una nueva versión de este sistema que esta vez incluye un número aleatorio para cada nuevo blob. Sin embargo, esto no fue suficiente, ya que el dispositivo aún contiene el código de la versión anterior y es posible forzar su uso. Por lo tanto, este mismo ataque permite obtener las claves de cifrado de {hardware} en los últimos dispositivos Samsung.

Los investigadores informaron la falla inicial al fabricante en mayo de 2021 y se solucionó en agosto de 2021. Luego informaron la presencia del código obsoleto en modelos más nuevos en julio de 2021 y Samsung lanzó un parche en octubre de 2021. Sin embargo, el hecho de que haya un parche disponible no significa que se haya instalado en los teléfonos inteligentes afectados. Por lo tanto, los usuarios de dispositivos Samsung deben asegurarse de que sus móviles estén actualizados lo antes posible.

¿Te interesa lo que acabas de leer?

Leave a Reply

Your email address will not be published. Required fields are marked *