三星部分機型被曝存在安全漏洞,3月1日上午訊息,三星已出貨至少1億部帶有安全漏洞的Android智慧手機,該漏洞有可能允許攻擊者從裝置中提取敏感和加密資訊。三星部分機型被曝存在安全漏洞。
三星部分機型被曝存在安全漏洞1
3月1日訊息,研究發現,三星已經出貨的上億部Android智慧手機存在安全漏洞,攻擊者可能利用漏洞從相關裝置中獲取敏感和加密資訊。
以色列特拉維夫大學(Tel Aviv University)研究人員發現的這個漏洞是三星Galaxy系列手機ARM TrustZone系統中金鑰儲存方式的一個特定問題。Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20、Galaxy S21多款三星手機均受影響,涉及至少1億部Android智慧手機。
TrustZone是一種用硬體將敏感資訊與主要操作系統隔離開來,用以保護敏感資訊的技術。三星裝置上的TrustZone作業系統(TZOS)與Android系統同時執行,執行安全任務和加密功能,與普通應用程式的執行區分開來。
這一漏洞對使用者產生了廣泛影響。攻擊者可以利用漏洞提取加密的敏感資訊,比如儲存在使用者裝置上的密碼等等。特拉維夫大學研究人員還利用這個漏洞繞過基於硬體的雙因素身份驗證。
研究人員在2021年5月份就向三星報告了這一漏洞。三星於2021年8月修補了這一漏洞,這意味著執行最新作業系統的Galaxy手機將不再受到影響。
鑑於這一安全漏洞的嚴重性,使用受影響裝置的Android手機使用者應該儘快更新作業系統。
研究人員計劃在2022年度安全技術會議Real World Crypto and USENIX Security上發表論文,披露這一研究結果。
三星部分機型被曝存在安全漏洞2
3月1日上午訊息,三星已出貨至少1億部帶有安全漏洞的Android智慧手機,該漏洞有可能允許攻擊者從裝置中提取敏感和加密資訊。去年已經被報告給三星並進行修復,使用者更新系統後已經無大問題。
該漏洞由以色列特拉維夫大學的研究人員發現,是某些三星Galaxy裝置在ARM TrustZone系統中儲存加密金鑰的方式的一個特定問題。研究人員計劃在2022年的Real World Crypto和USENIX 安全會議上的一篇論文中披露他們的發現。
它影響的機型包括Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20和Galaxy S21等型號。
TrustZone是一種通過硬體將敏感資訊與主作業系統隔離來保護敏感資訊的技術。在三星裝置上,TrustZone作業系統 (TZOS) 與Android一起執行,並執行與普通應用程式分開的敏感安全任務和加密功能。
該漏洞對使用者可能存在安全隱患。(在理論上)攻擊者可以利用該漏洞提取通常會被加密的敏感資訊,例如儲存在裝置上的密碼。特拉維夫大學的研究人員還利用該問題繞過了基於硬體的兩因素身份驗證。
研究人員於2021年5月向三星報告了該漏洞。這家韓國智慧手機制造商於2021年8月修補了該漏洞,這意味著它應該不會再影響執行最新作業系統的Galaxy裝置。
因為安卓手機新系統的安裝率並不高,擁有受影響裝置且最近未更新手機的使用者應儘快更新。
三星部分機型被曝存在安全漏洞3
今天,以色列特拉維夫大學(Tel Aviv University)的研究人員,公佈了一項普遍存在於三星Galaxy系列手機中的'安全漏洞,攻擊者能夠通過該漏洞獲取裝置的加密資訊。
據悉,該漏洞的成因是Galaxy系列手機ARM TrustZone系統中祕鑰的一個特定問題。
TrustZone是一種通過硬體,將敏感資訊與作業系統隔離,從而保護敏感資訊的技術,三星Galaxy系列的手機裝置普遍採用了TrustZone與安卓系統並行執行,從而執行安全加密的技術。
但此次曝光的技術漏洞,能夠允許攻擊者直接通過TrustZone提取諸如密碼等加密的敏感資訊,且能夠繞過基於硬體的身份驗證機制。
不過,使用者也不必過於擔心。
根據研究人員的說法,該漏洞已經於2021年5月提交給了三星官方,三星方面也在同年8月推送的系統更新中修復了這一漏洞,此次對外公開僅僅是作為學術研究成果發表。
因此,從理論上講,只要使用者的手機更新了最新的作業系統,那麼就不會受到該漏洞的影響。
