三星涉上亿台设备或存在安全漏洞

时间:2024-03-15 09:58:16
三星涉上亿台设备或存在安全漏洞

三星涉上亿台设备或存在安全漏洞

三星涉上亿台设备或存在安全漏洞,研究人员今日公布了一项普遍存在于三星Galaxy系列手机中的安全漏洞,攻击者能够通过该漏洞获取设备的加密信息。三星涉上亿台设备或存在安全漏洞。

  三星涉上亿台设备或存在安全漏洞1

3月1日上午消息,三星已出货至少1亿部带有安全漏洞的Android智能手机,该漏洞有可能允许攻击者从设备中提取敏感和加密信息。去年已经被报告给三星并进行修复,用户更新系统后已经无大问题。

该漏洞由以色列特拉维夫大学的研究人员发现,是某些三星Galaxy设备在ARM TrustZone系统中存储加密密钥的方式的一个特定问题。研究人员计划在2022年的Real World Crypto和USENIX 安全会议上的一篇论文中披露他们的发现。

它影响的机型包括Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20和Galaxy S21等型号。

TrustZone是一种通过硬件将敏感信息与主操作系统隔离来保护敏感信息的技术。在三星设备上,TrustZone操作系统 (TZOS) 与Android一起运行,并执行与普通应用程序分开的敏感安全任务和加密功能。

该漏洞对用户可能存在安全隐患。(在理论上)攻击者可以利用该漏洞提取通常会被加密的敏感信息,例如存储在设备上的密码。特拉维夫大学的研究人员还利用该问题绕过了基于硬件的两因素身份验证。

研究人员于2021年5月向三星报告了该漏洞。这家韩国智能手机制造商于2021年8月修补了该漏洞,这意味着它应该不会再影响运行最新操作系统的Galaxy设备。

因为安卓手机新系统的安装率并不高,拥有受影响设备且最近未更新手机的用户应尽快更新。

  三星涉上亿台设备或存在安全漏洞2

今天,以色列特拉维夫大学(Tel Aviv University)的研究人员,公布了一项普遍存在于三星Galaxy系列手机中的安全漏洞,攻击者能够通过该漏洞获取设备的加密信息。

据悉,该漏洞的成因是Galaxy系列手机ARM TrustZone系统中秘钥的一个特定问题。

TrustZone是一种通过硬件,将敏感信息与操作系统隔离,从而保护敏感信息的技术,三星Galaxy系列的手机设备普遍采用了TrustZone与安卓系统并行运行,从而执行安全加密的技术。

但此次曝光的技术漏洞,能够允许攻击者直接通过TrustZone提取诸如密码等加密的敏感信息,且能够绕过基于硬件的身份验证机制。

不过,用户也不必过于担心。

根据研究人员的.说法,该漏洞已经于2021年5月提交给了三星官方,三星方面也在同年8月推送的系统更新中修复了这一漏洞,此次对外公开仅仅是作为学术研究成果发表。

因此,从理论上讲,只要用户的手机更新了最新的操作系统,那么就不会受到该漏洞的影响。

  三星涉上亿台设备或存在安全漏洞3

3月1日消息,研究发现,三星已经出货的上亿部Android智能手机存在安全漏洞,攻击者可能利用漏洞从相关设备中获取敏感和加密信息。

以色列特拉维夫大学(Tel Aviv University)研究人员发现的这个漏洞是三星Galaxy系列手机ARM TrustZone系统中密钥存储方式的一个特定问题。Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20、Galaxy S21多款三星手机均受影响,涉及至少1亿部Android智能手机。

TrustZone是一种用硬件将敏感信息与主要操作系统隔离开来,用以保护敏感信息的技术。三星设备上的TrustZone操作系统(TZOS)与Android系统同时运行,执行安全任务和加密功能,与普通应用程序的运行区分开来。

这一漏洞对用户产生了广泛影响。攻击者可以利用漏洞提取加密的敏感信息,比如存储在用户设备上的密码等等。特拉维夫大学研究人员还利用这个漏洞绕过基于硬件的双因素身份验证。

研究人员在2021年5月份就向三星报告了这一漏洞。三星于2021年8月修补了这一漏洞,这意味着运行最新操作系统的Galaxy手机将不再受到影响。

鉴于这一安全漏洞的严重性,使用受影响设备的Android手机用户应该尽快更新操作系统。

研究人员计划在2022年度安全技术会议Real World Crypto and USENIX Security上发表论文,披露这一研究结果。

《三星涉上亿台设备或存在安全漏洞.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式