Samsung normalde Galaxy akıllı telefonlar için düzenli olarak güvenlik güncellemeleri sağlar. Ancak, bu tür güncellemeler yalnızca ilgili hatalar biliniyorsa etkili olur. Tel Aviv Üniversitesi tarafından yakın tarihli bir rapora göre Samsung, fabrikadan kritik bir güvenlik sızıntısı olan çok sayıda telefon piyasaya sürdü.
- Bir rapora göre Samsung, ciddi bir güvenlik açığı olan Galaxy akıllı telefonlarını piyasaya sürdü.
- 100 milyondan fazla cihazın etkilendiği söyleniyor.
- Şifreleme anahtarlarının saklanması yanlış.
Samsung Galaxy S8’in piyasaya sürülmesinden bu yana, Güney Kore’den gelen akıllı telefonlarda şimdiye kadar kimsenin şüphelenmediği bir güvenlik sorunu yaşandı. Bu hata, akıllı telefonların kriptografik anahtarları doğru kaydetmemesine neden oldu. Bu, üçüncü tarafların siz fark etmeden anahtarları almasına izin verdi.
Böyle bir istismar, şifrelerinizin güvensiz olmasına neden olur. Hata, önemli güvenlik işlevlerinden sorumlu olan “Güven Bölgesi İşletim Sistemi (TZOS)” de meydana geldi. Bu sistemdeki kriptografik işlevlerin uygulanması, parolaların düz metin olarak çıktısını mümkün kılan hatalara sahipti.
Sayısız cihaz etkilendi
Bu hata Samsung Galaxy S8’den beri var olduğundan ve S8, S9, S10, S20 ve S21 serisinin modellerini etkilediğinden, hata 100 milyondan fazla cihazı etkileyebilir. Kimse istismar hakkında bir şey bilmediğinden, kesin vaka sayısı bilinmiyor. Güvenlik sızıntısı hakkında her şeyi şurada okuyabilirsiniz: Araştırmacıların raporu okuman.
Analizimiz sayesinde ciddi kriptografik tasarım kusurlarını ortaya çıkardık. AES-GCM’de bir saldırganın donanım korumalı anahtar materyali çıkarmasına olanak tanıyan bir IV yeniden kullanım saldırısı ve en yeni Samsung cihazlarını bile IV yeniden kullanım saldırısına karşı savunmasız hale getiren bir sürüm düşürme saldırısı belirledik – Alon Shakevsky ve Eyal Ronen ve Avishai Wool, Tel Aviv Üniversitesi
Ancak bu arada Samsung tepki gösterdi ve hatayı iki güncellemeyle düzeltti. Ancak, tespit edilmeyen başka hataların olup olmadığı bilinmiyor. Bu nedenle, yalnızca parolalarımızın gelecekte güvende olacağını umabiliriz.
Hata hakkında ne düşünüyorsun? Bunun gibi daha fazla hata gizlenebileceğini düşünüyor musunuz? Yorumlarda bize bildirin!
