Notebookcheck Logo

Samsung ha enviado alrededor de 100 millones de smartphones con un cifrado defectuoso o débil

El Galaxy S21 Ultra tiene fama de ser uno de los dispositivos afectados. (Fuente de la imagen: Denis Cherkashin)
El Galaxy S21 Ultra tiene fama de ser uno de los dispositivos afectados. (Fuente de la imagen: Denis Cherkashin)
Según se informa, Samsung ha enviado decenas de millones de smartphones con un cifrado débil o defectuoso. Las estimaciones sobre el número de smartphones afectados podrían alcanzar los 100 millones e incluir todos los smartphones Galaxy S desde el Galaxy S8 en adelante. Samsung tuvo conocimiento de los problemas de seguridad hace casi un año.
Android Galaxy S Security Fail

Samsung hace mucho hincapié en la inclusión de la seguridad Knox en sus smartphones; incluso tiene un sitio web dedicado a la plataforma. Supuestamente, Samsung construye cada dispositivo Knox "desde el chip de hardware para aislar, encriptar y asegurar tus datos". Sin embargo, un reciente artículo de investigadores de seguridad de la Universidad de Tel-Aviv sugiere que la plataforma de seguridad de Samsung podría no ser tan segura como afirma. De hecho, Samsung podría haber enviado hasta 100 millones de smartphones con un cifrado defectuoso o débil.

Como informaThe Registerinforma que los smartphones de Android se basan en un entorno de ejecución de confianza (TEE) que aísla la funcionalidad de seguridad de las aplicaciones normales. Además, los TEE operan en TrustZone (TZOS), un sistema operativo dedicado alejado de Android. Algunos proveedores implementan las funciones criptográficas de TZOS, como Samsung, Sony y Xiaomi.

En el documento, los investigadores explican que Samsung no implementó correctamente una aplicación de confianza que almacena claves criptográficas en TZOS. Como referencia, Samsung utiliza Keymaster TA para manejar las operaciones criptográficas, que habla con Android Keystore's Keymaster Hardware Abstraction Layer (HAL). Keymaster TA almacena las claves criptográficas como blobs que encripta utilizando AES-GCM.

En teoría, estas claves sólo deberían poder leerse dentro del TEE. Desgraciadamente para Samsung, los investigadores realizaron una ingeniería inversa de Keymaster TA y demostraron que podían las claves utilizando un ataque de reutilización del vector de inicialización (IV) de https://cwe.mitre.org/data/definitions/1204.html. Según los investigadores, los smartphones insignia de Samsung Galaxy S del Galaxy S8 en adelante están afectados, incluida la serie Galaxy S21 del año pasado.

Los investigadores añaden que la débil encriptación de Samsung les permitió eludir Google Secure Key Import y FIDO2-WebAuthn. En resumen, el bypass les permitió autenticarse en un sitio web protegido por la aplicación Android StrongKey. Al parecer, Samsung ya ha respondido al trabajo del investigador con parches de seguridad, habiendo sido informado de los problemas ya en mayo de 2021.

Fuente(s)

IACR.org vía The Register & phoneArena, Denis Cherkashin - Crédito de la imagen

Artículos relacionados

El medidor de glucosa en sangre no invasivo D-Pocket sólo requiere que el usuario ponga el dedo en el sensor. (Fuente de la imagen: DiaMonTech - editado)
El medidor personal de glucosa en sangre no invasivo D-Pocket de DiaMonTech atrae una importante inversión de Samsung Ventures 03/04/2022
El Samsung Galaxy A13 4G es uno de los próximos smartphones de la serie A de Galaxy. (Fuente de la imagen: Roland Quandt)
Samsung Galaxy A13 4G, Galaxy A33 5G y Galaxy A53 5G se filtran los precios para los países europeos 03/04/2022
Samsung está corrigiendo errores en la serie Galaxy Watch4 después de la actualización del mes pasado. (Fuente de la imagen: Samsung)
Samsung soluciona problemas con el Galaxy Watch4 y el Galaxy Watch4 Classic tras sus últimas actualizaciones importantes de firmware 03/04/2022
El S22 Ultra antes de su última prueba de flexión. (Fuente: JerryRigEverything vía YouTube)
El Samsung Galaxy S22 Ultra protagoniza el último vídeo de JerryRigEverything 03/03/2022
El Galaxy S22 Ultra parece estar por detrás del iPhone 13 Pro Max en lo que respecta al rendimiento de la GPU. (Fuente de la imagen: Samsung)
Samsung Galaxy S22 Ultra vs iPhone 13 Pro Max: el Snapdragon 8 Gen 1 ofrece un espectáculo de lag y poco impresionante en Genshin Impact con un mayor consumo de energía 03/02/2022
Todos los futuros smartphones 'Ultra' continuarán el legado de la serie Galaxy Note. (Fuente de la imagen: Samsung)
Samsung confirma el fin de la serie Galaxy Note en el MWC 2022 03/01/2022
El Samsung Galaxy S22 Ultra. (Fuente: Pocket Lint)
El Exynos Samsung Galaxy S22 Ultra muestra una peor duración de la batería y la grabación de vídeo que el modelo Snapdragon 03/01/2022
El Galaxy Book2 Pro 360 es una alternativa convertible al Galaxy Book2 Pro. (Fuente de la imagen: Samsung)
Samsung Galaxy Book2 Pro 360: Nuevo convertible revelado en dos tamaños con los últimos procesadores de Intel y soporte para S Pen 02/28/2022
El Galaxy Book2 Pro estará disponible en dos tamaños, colores y en múltiples configuraciones. (Fuente de la imagen: Samsung)
Samsung Galaxy Book2 Pro llega con procesadores Intel Alder Lake, conectividad 5G y una GPU dedicada Intel Arc Graphics 02/28/2022
El Galaxy Fit 2 ha recibido su primera actualización en casi un año. (Fuente de la imagen: Samsung)
Samsung Galaxy Fit 2 recibe nuevas y prácticas funciones en su última actualización 02/27/2022
AOC AGON AG344UXM: se anuncia un mo...
Blackview Tab 10 Pro: Lanzamiento d...
Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2022 03 > Samsung ha enviado alrededor de 100 millones de smartphones con un cifrado defectuoso o débil
Alex Alderson, 2022-03- 2 (Update: 2022-03- 2)