Samsung
100 Millionen Handys mit fehlerhafter Verschlüsselung ausgeliefert
Datum:01.03.2022
Autor(en):René Resch
Samsung hat über Jahre seine Smartphones mit fehlerhafter Verschlüsselung ausgeliefert
- Schutz war kaum gegeben.
Samsung: 100 Millionen Handys mit fehlerhafter Verschlüsselung ausgeliefert
Foto:
Wie ein aktuelles Paper1 der Sicherheitsforscher Alon Shakevsky, Eyal Roen und Avishai Wool von der Universität in Tel-Aviv zeigt, hat Samsung offenbar Millionen seiner Smartphones mit fehlerhafter Verschlüsselung ausgeliefert, wie auch The Register berichtet.2
Durch Reverse-Engineering konnten die Experten mehrere Schwachstellen im kryptografischen Design und der Code-Struktur ausmachen. So wurden etwa Probleme in Samsungs Implementation der ARM TrustZone aufgedeckt. Dieser Sicherheitsbereich, der von herkömmlichen Apps und Programmen abgekoppelt ist, ist für besonders sensible Aufgaben ausgelegt. Unter anderem für den Schutz des Lock-Screens oder für Verschlüsselungs-Keys. In dieser isolierten Zone läuft sogar ein unabhängiges OS.
Schutz von Samsung-Smartphones "peinlich schlecht"
Der angesehene Kryptografie-Experte Mathew Green ging auf diesen Fehler ein, und nannte die Umsetzung seitens Samsung "peinlich schlecht". Die Entschlüsselung der Daten sei "trivial" und der eigentliche versprochene Extra-Schutz ist praktisch nicht existent.
Der Tweet im Wortlaut: "Oh Gott. Die Art und Weise, wie Samsung-Telefone das Key-Material in TrustZone verschlüsseln, weist schwerwiegende Mängel auf und ist peinlich schlecht. Sie haben einen einzigen Schlüssel verwendet und die Wiederverwendung von IV (Initialisierungsvektor) erlaubt.
Sie hätten also für jeden Schlüssel, den sie schützen, einen anderen Schlüssel ableiten können. Aber stattdessen tut Samsung das nicht. Dann erlauben sie dem Code der Anwendungsschicht, Verschlüsselungs-IVs auszuwählen. Dies ermöglicht eine triviale Entschlüsselung."
Mehr als 100 Millionen Samsung-Smartphones betroffen
Diese Implementierung ist bei mehreren Samsung-Smartphones den Sicherheitsforschern zufolge mit Fehlern belastet, konkret sollen die Modelle Galaxy S8, S9, S10, S20 und S21 von der fehlerhaften Implementierung betroffen sein, wobei die Zahl der betroffenen Geräte über 100 Millionen Geräten liegen soll.
Ein Sicherheitsupdate hilft: Samsung wurde über diese Fehlimplementierung bereits im Vorjahr informiert und hat die Probleme zumindest in den aktuell noch gewarteten Geräten mittlerweile behoben. Wer alle aktuellen Sicherheitsaktualisierungen eingespielt hat, sollte von diesem Problem so also nicht mehr betroffen sein. (PC-Welt3)
Links im Artikel:
1 https://eprint.iacr.org/2022/208.pdf2 https://www.theregister.com/2022/02/23/samsung_encryption_phones/
3 https://www.pcwelt.de/news/Samsung-100-Millionen-Handys-mit-fehlerhafter-Verschluesselung-ausgeliefert-11192086.html
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.