Titkosítási sérülékenység 100 millió Samsung telefonon
Titkosítási sérülékenység 100 millió Samsung telefonon
Új e-hulladék kezelési kihívásokat hozott a home office elterjedése
2021-09-02
Töröljünk vagy daráljunk?
2022-03-29
Új e-hulladék kezelési kihívásokat hozott a home office elterjedése
2021-09-02
Töröljünk vagy daráljunk?
2022-03-29
Összes bejegyzés

Titkosítási sérülékenység 100 millió Samsung telefonon

Tavaly augusztusban több, Samsung telefonokat érintő titkosítással kapcsolatos sérülékenységet fedeztek fel kutatók. Az eset rávilágít arra, hogy a titkosítás nem védi meg eléggé a telefonon található adatokat, és selejtezés előtt minősített adattörlést kell végrehajtani.

Miután elegendő idő eltelt a sérülékenyég felfedezése óta, és a frissítések is megérkeztek az érintett készülékekre, most jött el az ideje annak, hogy a tavaly augusztusban megtalált Samsung titkosítási sérülékenységeket napvilágra hozzák. A hibákat a Tel Avivi Egyetem szakembereinek dolgozata tárta fel. A kutatók egységes és nyílt kriptográfiai szabványok létrehozása mellett érvelnek.

Saját fejlesztés

Számítások szerint közel 100 millió Samsung okostelefon érintett a sérülékenységben. A kutatók egyébként nem véletlenül fedezték fel ezeket a hibákat, hanem kimondottan a Samsung készülékeket vizsgálták. A szakemberek célja azt volt, hogy bebizonyítsák a saját fejlesztésű, és gyakran nem dokumentált titkosítási módszerek minden mobilfelhasználó számára veszélyesek lehetnek.

Az ARM chipekre épülő Android okostelefonokban (vagyis az androidos készülékek 99,99 százaléka) az Android operációs rendszert elválasztják a TrustZone-tól, ami egy külön hardverdarabka. A TrustZone tartalmazza a Trustes Execution Environment-et, ahol egy elszigetelt operációs rendszer, a TZOS, biztonsági funkciókat lát el.

Például, amikor egy androidos alkalmazásnak mondjuk azonosítania kell a felhasználót, akkor az Android operációs rendszer a TZOS-hez fordul. Azonban a titkosítás megoldását a TZOS-en belül a készülék gyártóira bízzák, így gyakran saját fejlesztésű, nem megfelelően dokumentált megoldások születnek. Nagyon röviden és egyszerűsítve: a Samsung készülékeknél a titkosítási kulcsokat újra lehetett hasznosítani, ez pedig mindenki előtt megnyitja a titkosított dokumentumok, adatok tartalmát, majd az adatok birtokában be lehet lépni a készülékbe.

Az újabb Samsung készülékek (S10, S20 és S21-es családok) alapból már ellenálltak a titkosítási kulcs újrahasznosítási támadásnak, azonban a kutatóknak egy downgrade támadással sikerült ezeket a készülékeket is sérülékennyé tenni.

A titkosítás nem helyettesíti az adattörlést

Az eset ismét rávilágít arra, hogy a titkosítás nem helyettesítheti az adattörlést. A leselejtezett telefonokat adattárolóját akkor is véglegesen és minősítetten kell törölni, ha korábban titkosítással védték rajta az adatokat.

Ha tetszett a cikk:

Érdeklik a hasonló hírek?

Iratkozzon fel hírlevelünkre!

Titkosítási sérülékenység 100 millió Samsung telefonon
A weboldalon sütiket (cookie) használunk, melyek segítenek minket a lehető legjobb szolgáltatások nyújtásában. Weboldalunk további használatával elfogadja Adatkezelési tájékoztatónkat.