Notebookcheck Logo

Samsung a expédié environ 100 millions de smartphones avec un cryptage défectueux ou faible

Le Galaxy S21 Ultra est réputé être l'un des appareils concernés. (Image source : Denis Cherkashin)
Le Galaxy S21 Ultra est réputé être l'un des appareils concernés. (Image source : Denis Cherkashin)
Selon certaines informations, Samsung aurait envoyé des dizaines de millions de smartphones avec un cryptage faible ou défectueux. Les estimations du nombre de smartphones concernés pourraient atteindre 100 millions et inclure tous les smartphones Galaxy S à partir du Galaxy S8. Samsung a été mis au courant des problèmes de sécurité il y a près d'un an.
Android Galaxy S Security Fail

Samsung fait grand cas de l'intégration de la sécurité Knox sur ses smartphones ; elle dispose même d'un site web consacré à cette plateforme à cette plateforme. Samsung est censé construire chaque appareil Knox "à partir de la puce matérielle pour isoler, crypter et sécuriser vos données". Cependant, un récent article de chercheurs en sécurité de l'université de Tel-Aviv suggère que la plateforme de sécurité de Samsung n'est peut-être pas aussi sûre qu'elle le prétend. En fait, Samsung pourrait avoir expédié jusqu'à 100 millions de smartphones avec un cryptage défectueux ou faible.

CommeThe Register Android, les smartphones reposent sur un environnement d'exécution de confiance (TEE) qui isole la fonctionnalité de sécurité des applications ordinaires. En outre, les TEE fonctionnent sur TrustZone (TZOS), un système d'exploitation dédié, éloigné de Android. Des fournisseurs individuels mettent en œuvre les fonctions cryptographiques de TZOS, comme Samsung, Sony et Xiaomi.

Dans leur article, les chercheurs expliquent que Samsung n'a pas réussi à mettre en œuvre correctement une application de confiance qui stocke des clés cryptographiques dans TZOS. Pour référence, Samsung utilise Keymaster TA pour gérer les opérations cryptographiques, qui communique avec Android Keystore's Keymaster Hardware Abstraction Layer (HAL) de Keystore. Keymaster TA stocke les clés cryptographiques sous forme de blobs qu'il chiffre à l'aide d'AES-GCM.

Théoriquement, ces clés ne devraient être lisibles qu'à l'intérieur du TEE. Malheureusement pour Samsung, les chercheurs ont inversé l'ingénierie de Keymaster TA et démontré qu'ils pouvaient obtenir les clés à l'aide d'une attaque par réutilisation du vecteur d'initialisation (IV) https://cwe.mitre.org/data/definitions/1204.html. Selon les chercheurs, les smartphones phares de Samsung Galaxy S du modèle Galaxy S8 sont concernés, y compris la série Galaxy S21 de l'année dernière.

Les chercheurs ajoutent que la faiblesse du chiffrement de Samsung leur a permis de contourner Google Secure Key Import et FIDO2-WebAuthn. En bref, le contournement leur a permis de s'authentifier sur un site web protégé par l'application Android StrongKey. Apparemment, Samsung a déjà répondu aux travaux du chercheur par des correctifs de sécurité, ayant été informé des problèmes dès mai 2021.

Source(s)

Articles en relation

Le Galaxy A13 est disponible en noir, bleu, pêche et blanc. (Image source : Samsung)
Le Samsung Galaxy A13 débarque pour 189 € avec les mêmes vitesses de charge que le Galaxy S22 03/05/2022
Le Galaxy A23 n'est que le début de la série Galaxy A de cette année. (Image source : Samsung)
Samsung Galaxy A23 : Sortie du nouveau smartphone d'entrée de gamme Galaxy série A avec un écran de 6,6 pouces, une batterie de 5 000 mAh et jusqu'à 8 Go de RAM 03/05/2022
Le moniteur de glycémie non invasif D-Pocket nécessite uniquement que l'utilisateur pose son doigt sur le capteur. (Image source : DiaMonTech - édité)
Le lecteur de glycémie personnel non invasif D-Pocket de DiaMonTech attire un investissement substantiel de Samsung Ventures 03/04/2022
Le Samsung Galaxy A13 4G est l'un des nombreux smartphones de la série A Galaxy à venir. (Image source : Roland Quandt)
Les prix des Samsung Galaxy A13 4G, Galaxy A33 5G et Galaxy A53 5G ont été divulgués pour les pays européens 03/04/2022
Samsung apporte des corrections de bugs à la série Galaxy Watch4 après la mise à jour du mois dernier. (Image source : Samsung)
Samsung corrige des problèmes avec la Galaxy Watch4 et la Galaxy Watch4 Classic après leurs dernières mises à jour majeures du firmware 03/04/2022
Le S22 Ultra avant son dernier test de pliage. (Source : JerryRigEverything via YouTube)
Le Samsung Galaxy S22 Ultra en vedette dans la dernière vidéo JerryRigEverything 03/03/2022
Le Galaxy S22 Ultra semble être à la traîne derrière l'iPhone 13 Pro Max en ce qui concerne les performances du GPU. (Image Source : Samsung)
Samsung Galaxy S22 Ultra vs iPhone 13 Pro Max : le Snapdragon 8 Gen 1 se montre lent et peu impressionnant au Genshin Impact avec une consommation d'énergie plus élevée 03/02/2022
Tous les futurs smartphones "Ultra" perpétueront l'héritage de la série Note Galaxy. (Image source : Samsung)
Samsung confirme la fin de la série Note Galaxy au MWC 2022 03/01/2022
Le Samsung Galaxy S22 Ultra. (Source : Pocket Lint)
L'Exynos Samsung Galaxy S22 Ultra présente une autonomie et des enregistrements vidéo moins bons que le modèle Snapdragon 03/01/2022
Le Galaxy Book2 Pro 360 est une alternative convertible au Galaxy Book2 Pro. (Image source : Samsung)
Samsung Galaxy Book2 Pro 360 : Un nouveau convertible dévoilé en deux tailles avec les derniers processeurs d'Intel et la prise en charge du S Pen 02/28/2022
Le Galaxy Book2 Pro sera disponible en deux tailles, en deux couleurs et dans de multiples configurations. (Image source : Samsung)
Samsung Galaxy Book2 Pro arrive avec des processeurs Intel Alder Lake, une connectivité 5G et un GPU dédié Intel Arc Graphics 02/28/2022
Le Galaxy Fit 2 a reçu sa première mise à jour depuis près d'un an. (Image source : Samsung)
Samsung Galaxy Fit 2 reçoit de nouvelles fonctionnalités pratiques dans sa dernière mise à jour 02/27/2022
Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2022 03 > Samsung a expédié environ 100 millions de smartphones avec un cryptage défectueux ou faible
Alex Alderson, 2022-03- 2 (Update: 2022-03- 2)