Samsung, scoperta (e corretta) falla critica in oltre 100 milioni di Galaxy S

2 years ago 224

Samsung ha venduto oltre 100 milioni di smartphone Galaxy con una vulnerabilità software critica: un gruppo di ricercatori dell'università di Tel Aviv ha scoperto che diversi modelli delle serie Galaxy S8, S9, S10, S20 e S21 non immagazzinavano correttamente le chiavi crittografiche. Un hacker con accesso a questi dati avrebbe potuto decriptare e conseguentemente rubare dati sensibili, come password e informazioni biometriche.

Il report (link in FONTE in fondo all'articolo) rende molto chiaro che si tratta di un attacco complesso e sofisticato, che ha molte poche probabilità di essere rilevante per il grande pubblico. Ha a che fare con l'implementazione della cosiddetta TrustZone progettata direttamente da Arm Holdings per i suoi processori. Samsung ha sviluppato un ambiente chiamato TZOS o TrustZone Operating System, che di fatto gira in parallelo ad Android e gestisce tutte le funzioni crittografiche del sistema.

Patch Android febbraio 2022, la lista degli smartphone aggiornati | OnePlus 7 e 7T

Android 08 Feb

È uno di quegli exploit da spionaggio ad alto livello, insomma - governativo o meno, che comunque è già stato corretto da Samsung. Una prima mitigazione è stata implementata con le patch di sicurezza di agosto 2021, e un fix ulteriore è arrivato con quelle di due mesi dopo. Tutto risolto, insomma? Diciamo di sì: nonostante la finestra di supporto si sia chiusa da un bel pezzo, verso la fine di dicembre 2021 perfino i Galaxy S8 e gli S8 Plus hanno ricevuto le patch di novembre 2021. La notizia fu un po' una sorpresa, ma ora sappiamo che Samsung aveva delle ragioni molto valide, dimostrando ancora una volta che tra i produttori Android rimane la migliore in termini di aggiornamenti e sicurezza.

Samsung Galaxy S8 non

Android 17 Dic

Il problema principale evidenziato dai ricercatori, comunque, è un altro: e cioè la scelta di produttori come Samsung e Qualcomm di mantenere il segreto sulle implementazioni delle TrustZone. "I dettagli su progetti e implementazioni dovrebbero essere esaminati e verificati attentamente da ricercatori indipendenti e non dovrebbero basarsi sulla difficoltà del processo di reverse engineering su sistemi proprietari".

(aggiornamento del 23 febbraio 2022, ore 13:47)


Read Entire Article