三星部分機型被曝存在安全漏洞,3月1日上午消息,三星已出貨至少1億部帶有安全漏洞的Android智能手機,該漏洞有可能允許攻擊者從設備中提取敏感和加密信息。三星部分機型被曝存在安全漏洞。
三星部分機型被曝存在安全漏洞1
3月1日消息,研究發現,三星已經出貨的上億部Android智能手機存在安全漏洞,攻擊者可能利用漏洞從相關設備中獲取敏感和加密信息。
以色列特拉維夫大學(Tel Aviv University)研究人員發現的這個漏洞是三星Galaxy系列手機ARM TrustZone系統中密鑰存儲方式的一個特定問題。Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20、Galaxy S21多款三星手機均受影響,涉及至少1億部Android智能手機。
TrustZone是一種用硬件將敏感信息與主要操作系統隔離開來,用以保護敏感信息的技術。三星設備上的TrustZone操作系統(TZOS)與Android系統同時運行,執行安全任務和加密功能,與普通應用程序的運行區分開來。
這一漏洞對用戶產生了廣泛影響。攻擊者可以利用漏洞提取加密的敏感信息,比如存儲在用戶設備上的密碼等等。特拉維夫大學研究人員還利用這個漏洞繞過基於硬件的雙因素身份驗證。
研究人員在2021年5月份就向三星報告了這一漏洞。三星於2021年8月修補了這一漏洞,這意味着運行最新操作系統的Galaxy手機將不再受到影響。
鑑於這一安全漏洞的嚴重性,使用受影響設備的Android手機用戶應該儘快更新操作系統。
研究人員計劃在2022年度安全技術會議Real World Crypto and USENIX Security上發表論文,披露這一研究結果。
三星部分機型被曝存在安全漏洞2
3月1日上午消息,三星已出貨至少1億部帶有安全漏洞的Android智能手機,該漏洞有可能允許攻擊者從設備中提取敏感和加密信息。去年已經被報告給三星並進行修復,用戶更新系統後已經無大問題。
該漏洞由以色列特拉維夫大學的研究人員發現,是某些三星Galaxy設備在ARM TrustZone系統中存儲加密密鑰的方式的一個特定問題。研究人員計劃在2022年的Real World Crypto和USENIX 安全會議上的一篇論文中披露他們的發現。
它影響的機型包括Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20和Galaxy S21等型號。
TrustZone是一種通過硬件將敏感信息與主操作系統隔離來保護敏感信息的技術。在三星設備上,TrustZone操作系統 (TZOS) 與Android一起運行,並執行與普通應用程序分開的敏感安全任務和加密功能。
該漏洞對用戶可能存在安全隱患。(在理論上)攻擊者可以利用該漏洞提取通常會被加密的敏感信息,例如存儲在設備上的密碼。特拉維夫大學的研究人員還利用該問題繞過了基於硬件的兩因素身份驗證。
研究人員於2021年5月向三星報告了該漏洞。這家韓國智能手機制造商於2021年8月修補了該漏洞,這意味着它應該不會再影響運行最新操作系統的Galaxy設備。
因爲安卓手機新系統的安裝率並不高,擁有受影響設備且最近未更新手機的用戶應儘快更新。
三星部分機型被曝存在安全漏洞3
今天,以色列特拉維夫大學(Tel Aviv University)的研究人員,公佈了一項普遍存在於三星Galaxy系列手機中的'安全漏洞,攻擊者能夠通過該漏洞獲取設備的加密信息。
據悉,該漏洞的成因是Galaxy系列手機ARM TrustZone系統中祕鑰的一個特定問題。
TrustZone是一種通過硬件,將敏感信息與操作系統隔離,從而保護敏感信息的技術,三星Galaxy系列的手機設備普遍採用了TrustZone與安卓系統並行運行,從而執行安全加密的技術。
但此次曝光的技術漏洞,能夠允許攻擊者直接通過TrustZone提取諸如密碼等加密的敏感信息,且能夠繞過基於硬件的身份驗證機制。
不過,用戶也不必過於擔心。
根據研究人員的說法,該漏洞已經於2021年5月提交給了三星官方,三星方面也在同年8月推送的系統更新中修復了這一漏洞,此次對外公開僅僅是作爲學術研究成果發表。
因此,從理論上講,只要用戶的手機更新了最新的操作系統,那麼就不會受到該漏洞的影響。
