Pesquisadores da Universidade de Tel Aviv, em Israel, descobriram uma séria falha de segurança nos smartphones Samsung, desde o Galaxy S8 em 2017 até o Galaxy S21 do ano passado. Isso faz parte de um artigo intitulado “Trust Dies in Darkness: Shedding Light on Samsung’s TrustZone Keymaster Design” pelos acadêmicos Alon Shakevsky, Eyal Ronen e Avishai Wool. O grupo fornecerá uma apresentação detalhada das vulnerabilidades no próximo simpósio ‘USENIX Security, 2022’.
Essas falhas de segurança permitem que os cibercriminosos roubem chaves criptográficas armazenadas no dispositivo. Ele também permite que invasores ignorem padrões de segurança como FIDO2. Os pesquisadores classificou esses problemas de segurança como “graves”, possivelmente afetando quase 100 milhões de dispositivos Samsung Galaxy (via O registro).
Os pesquisadores demonstraram como os invasores poderiam buscar chaves criptográficas suportadas por hardware de telefones Samsung. Além disso, os cibercriminosos podem até fazer o downgrade dos protocolos de segurança de um dispositivo, tornando-o mais vulnerável a ataques futuros. Esta é uma prática conhecida como (vetor de inicialização) ataques de reutilização IV.
O problema afeta principalmente os dispositivos que utilizam a tecnologia TrustZone da fabricante de chips Arm. O TrustZone divide efetivamente um dispositivo em duas partes chamadas de Mundo Normal e Mundo Seguro. O Mundo Normal é a área do dispositivo que executa as tarefas normais, como o sistema operacional Android. O Secure World, por outro lado, gerencia o aparato de segurança e, portanto, só é acessível a aplicativos confiáveis. Esses são aplicativos ou serviços que o fabricante usa para segurança e criptografia do dispositivo.
Pesquisadores entraram em contato com a Samsung sobre essas vulnerabilidades em agosto do ano passado
Enquanto isso, o sistema Android Keystore oferece um sistema robusto de gerenciamento de chaves por meio do Keymaster Hardware Abstraction Layer ou HAL. Isso existe dentro do Secure World dentro do TrustZone e pode bloquear o acesso externo aos seus processos. As chaves criptográficas neste sistema usam o padrão de criptografia AES-GCM para proteção. Esse padrão protege os itens aproveitando a mesma chave e funciona apenas quando os IVs não são reutilizados.
No entanto, como ITPro aponta, a versão do Keystore da Samsung tem uma falha séria, permitindo que os invasores roubem as chaves criptográficas apenas conhecendo o conteúdo de uma amostra de texto simples. Os pesquisadores mostraram como os dispositivos Samsung são suscetíveis ao ataque de reutilização de IV, permitindo que os cibercriminosos anexem IVs como parte dos principais parâmetros.
Se infiltrados com sucesso, os invasores podem entrar na seção Normal World do dispositivo e permitir que o malware seja executado desenfreadamente. Ele pode até conceder privilégios de root para aplicativos de sua escolha. E, em vez de executar o código no kernel do Android, o invasor pode simplesmente executar o código no modo de usuário do Android.
Um dos ataques de reutilização IV anteriores foi denominado como “CVE-2021-25444”, com os pesquisadores dando a ele uma classificação de gravidade “alta”. Felizmente, a Samsung corrigiu essa vulnerabilidade em agosto de 2021. Também vale a pena notar que o ataque de downgrade que deixou os telefones Samsung mais novos, como o Galaxy S20 e o Galaxy S21, vulneráveis a um ataque de reutilização IV não é mais uma preocupação. A Samsung corrigiu isso em outubro de 2021.
A boa notícia é que a equipe de pesquisa abordou a Samsung em agosto passado com os detalhes dessas vulnerabilidades. A empresa então publicou essas falhas no registro Common Vulnerabilities and Exposures (CVE).