2 years ago
205
Samsung ha venduto oltre 100 milioni di smartphone Galaxy con una vulnerabilità software critica: un gruppo di ricercatori dell'università di Tel Aviv ha scoperto che diversi modelli delle serie Galaxy S8, S9, S10, S20 e S21 non immagazzinavano correttamente le chiavi crittografiche. Un hacker con accesso a questi dati avrebbe potuto decriptare e conseguentemente rubare dati sensibili, come password e informazioni biometriche.
Il report (link in FONTE in fondo all'articolo) rende molto chiaro che si tratta di un attacco complesso e sofisticato, che ha molte poche probabilità di essere rilevante per il grande pubblico. Ha a che fare con l'implementazione della cosiddetta TrustZone progettata direttamente da Arm Holdings per i suoi processori. Samsung ha sviluppato un ambiente chiamato TZOS o TrustZone Operating System, che di fatto gira in parallelo ad Android e gestisce tutte le funzioni crittografiche del sistema.
Android 08 Feb
È uno di quegli exploit da spionaggio ad alto livello, insomma - governativo o meno, che comunque è già stato corretto da Samsung. Una prima mitigazione è stata implementata con le patch di sicurezza di agosto 2021, e un fix ulteriore è arrivato con quelle di due mesi dopo. Tutto risolto, insomma? Diciamo di sì: nonostante la finestra di supporto si sia chiusa da un bel pezzo, verso la fine di dicembre 2021 perfino i Galaxy S8 e gli S8 Plus hanno ricevuto le patch di novembre 2021. La notizia fu un po' una sorpresa, ma ora sappiamo che Samsung aveva delle ragioni molto valide, dimostrando ancora una volta che tra i produttori Android rimane la migliore in termini di aggiornamenti e sicurezza.
Android 17 Dic
Il problema principale evidenziato dai ricercatori, comunque, è un altro: e cioè la scelta di produttori come Samsung e Qualcomm di mantenere il segreto sulle implementazioni delle TrustZone. "I dettagli su progetti e implementazioni dovrebbero essere esaminati e verificati attentamente da ricercatori indipendenti e non dovrebbero basarsi sulla difficoltà del processo di reverse engineering su sistemi proprietari".
- Samsung Galaxy S21 disponibile online da eBay a 587 euro.
- Samsung Galaxy S20 disponibile online da BestDigit.it a 661 euro oppure da Amazon a 775 euro.
(aggiornamento del 23 febbraio 2022, ore 13:47)
English (US)