Új e-hulladék kezelési kihívásokat hozott a home office elterjedése
2021-09-02
Töröljünk vagy daráljunk?
2022-03-29
Tavaly augusztusban több, Samsung telefonokat érintő titkosítással kapcsolatos sérülékenységet fedeztek fel kutatók. Az eset rávilágít arra, hogy a titkosítás nem védi meg eléggé a telefonon található adatokat, és selejtezés előtt minősített adattörlést kell végrehajtani.
Miután elegendő idő eltelt a sérülékenyég felfedezése óta, és a frissítések is megérkeztek az érintett készülékekre, most jött el az ideje annak, hogy a tavaly augusztusban megtalált Samsung titkosítási sérülékenységeket napvilágra hozzák. A hibákat a Tel Avivi Egyetem szakembereinek dolgozata tárta fel. A kutatók egységes és nyílt kriptográfiai szabványok létrehozása mellett érvelnek.
Saját fejlesztés
Számítások szerint közel 100 millió Samsung okostelefon érintett a sérülékenységben. A kutatók egyébként nem véletlenül fedezték fel ezeket a hibákat, hanem kimondottan a Samsung készülékeket vizsgálták. A szakemberek célja azt volt, hogy bebizonyítsák a saját fejlesztésű, és gyakran nem dokumentált titkosítási módszerek minden mobilfelhasználó számára veszélyesek lehetnek.
Az ARM chipekre épülő Android okostelefonokban (vagyis az androidos készülékek 99,99 százaléka) az Android operációs rendszert elválasztják a TrustZone-tól, ami egy külön hardverdarabka. A TrustZone tartalmazza a Trustes Execution Environment-et, ahol egy elszigetelt operációs rendszer, a TZOS, biztonsági funkciókat lát el.
Például, amikor egy androidos alkalmazásnak mondjuk azonosítania kell a felhasználót, akkor az Android operációs rendszer a TZOS-hez fordul. Azonban a titkosítás megoldását a TZOS-en belül a készülék gyártóira bízzák, így gyakran saját fejlesztésű, nem megfelelően dokumentált megoldások születnek. Nagyon röviden és egyszerűsítve: a Samsung készülékeknél a titkosítási kulcsokat újra lehetett hasznosítani, ez pedig mindenki előtt megnyitja a titkosított dokumentumok, adatok tartalmát, majd az adatok birtokában be lehet lépni a készülékbe.
Az újabb Samsung készülékek (S10, S20 és S21-es családok) alapból már ellenálltak a titkosítási kulcs újrahasznosítási támadásnak, azonban a kutatóknak egy downgrade támadással sikerült ezeket a készülékeket is sérülékennyé tenni.
A titkosítás nem helyettesíti az adattörlést
Az eset ismét rávilágít arra, hogy a titkosítás nem helyettesítheti az adattörlést. A leselejtezett telefonokat adattárolóját akkor is véglegesen és minősítetten kell törölni, ha korábban titkosítással védték rajta az adatokat.
Ha tetszett a cikk:
Érdeklik a hasonló hírek?
Iratkozzon fel hírlevelünkre!
