Avvxsejzr0Yk2Dm0Lpqaqsbccdm Cawd9X07Sve8Z74Ovelu8W E5Oztswxp2Ljiezhpavogxmwege8X6Qxuehdowg Kb2Bqje3X96Q0Ursv8Piwhhmgfdzfl4Zcgszmdjcxkmox6Je8Npspz3K7Nxp Vt5Vttx3Bw5Dgbgnvqh6Myopctfqwyyv7Rc W5Dq

Un groupe d’universitaires de l’Université de Tel-Aviv a révélé des détails sur des défauts de conception « graves » désormais corrigés affectant environ 100 millions de smartphones Samsung basés sur Android qui auraient pu entraîner l’extraction de clés cryptographiques secrètes.

Les lacunes sont le résultat d’une analyse de la conception cryptographique et de la mise en œuvre du Keystore basé sur le matériel d’Android dans les appareils phares Galaxy S8, S9, S10, S20 et S21 de Samsung, selon les chercheurs Alon Shakevsky, Eyal Ronen et Avishai Wool. mentionné.

Environnements d’exécution fiables (TEE) sont une zone sécurisée qui fournit un environnement isolé pour l’exécution d’applications de confiance (TA) pour effectuer des tâches critiques de sécurité afin d’assurer la confidentialité et l’intégrité.

Sauvegardes Github Automatiques

Sur Android, le support matériel Magasin de clés est un système qui facilite la création et le stockage des clés cryptographiques au sein du TEE, les rendant plus difficiles à extraire de l’appareil d’une manière qui empêche le système d’exploitation sous-jacent d’avoir un accès direct.

Au lieu de cela, Android Keystore expose des API sous la forme de Keymaster TA (application de confiance) pour effectuer des opérations cryptographiques dans cet environnement, y compris la génération de clés sécurisées, le stockage et son utilisation pour la signature numérique et le cryptage. Sur les appareils mobiles Samsung, le Keymaster TA s’exécute dans un TEE basé sur ARM TrustZone.

Publicité
Avvxseg7Szmfpm4Wrhkpez Liwproyoldm Sehvqmw6Kz2U4Hfoyn41Mslx7Xyhelb1Yspvulz2F Vzkp0L0Soatkefpi5Jc1U62Bhbz7Nsibtrgiwu1Gaiy79Mxjfzve7Tonustegyks3Mjtswcqmo Nxqgceoxefozdox52Ayn Exi Rm Ky2 Czm5Ta1

Cependant, failles de sécurité découvert dans La mise en œuvre de Samsung signifiait qu’ils pouvaient fournir à un adversaire avec des privilèges root un chemin pratique pour récupérer les clés privées protégées par le matériel à partir de l’élément sécurisé. La liste des problèmes identifiés est la suivante –

  • Vecteur d’initialisation (IV) réutilisation dans Keymaster TA (CVE-2021-25444) – Une vulnérabilité de réutilisation IV dans Keymaster avant SMR AUG-2021 Release 1 permet le déchiffrement de keyblob personnalisé avec un processus privilégié. (Impacts Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-AS-Lite, A6 Plus et A9S)
  • Attaque de rétrogradation dans Keymaster TA (CVE-2021-25490) – Une attaque de déclassement de keyblob dans Keymaster avant SMR Oct-2021 Release 1 permet [an] l’attaquant pour déclencher une vulnérabilité de réutilisation IV avec un processus privilégié. (Impacts Galaxy S10, S20 et S21)
Avvxsejcuahcttyteffghern055Efxoarbu7Ubwwlbvfgwmyrgngdvxqoeyn6Vphpw

En un mot, une exploitation réussie des failles contre le Keymaster TA pourrait permettre un accès non autorisé aux clés protégées par le matériel et aux données sécurisées par le TEE. Les implications d’une telle attaque pourraient aller d’un contournement d’authentification à des attaques avancées qui peuvent briser les garanties de sécurité fondamentales offertes par les systèmes cryptographiques.

Empêcher Les Violations De Données

Suite à la divulgation responsable en mai et juillet 2021, les problèmes ont été résolus via des mises à jour de sécurité expédiées en août et Octobre 2021 pour les appareils concernés. Les conclusions devraient être présentées à la Symposium sur la sécurité USENIX plus tard en août.

« Des fournisseurs tels que Samsung et Qualcomm gardent le secret sur leur mise en œuvre et leur conception de [TrustZone operating systems] et Tas », ont déclaré les chercheurs. « Les détails de conception et de mise en œuvre doivent être bien audités et examinés par des chercheurs indépendants et ne doivent pas reposer sur la difficulté de la rétro-ingénierie des systèmes propriétaires.


Rate this post
Publicité
Article précédentLa Linux Foundation annonce un nouveau projet « CAMARA – The Telco Global API Alliance » avec l’écosystème mondial de l’industrie
Article suivantExamen du refroidisseur Zalman Reserator5 Z36 noir AIO
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici