Onderzoekers vinden kwetsbaarheid in secure enclave van sommige Galaxy-telefoons

Onderzoekers hebben een kwetsbaarheid ontdekt in de trusted execution environment op verschillende Samsung-telefoons. Een aanvaller zou wachtwoorden uit de Arm TrustZone-omgeving kunnen achterhalen doordat er een voorspelbare encryptiesleutel wordt gegenereerd.

Het onderzoek werd uitgevoerd door beveiligingsonderzoekers aan de Universiteit van Tel Aviv. Op de Real World Crypto-conferentie, die in april plaatsvindt, geven de onderzoekers een toelichting op de paper, genaamd Trust dies in darkness: shedding light on Samsung's TrustZone Keymaster design. In het onderzoek keken de onderzoekers naar de implementatie van Arm's TrustZone-architectuur in Samsung-telefoons. TrustZone is Arm's eigen trusted execution environment, een beveiligde enclave in een chip waarin cryptografische toepassingen zoals wachtwoordbeheer worden uitgevoerd. Tweakers schreef eerder een achtergrond over zulke tee's. De onderzoekers komen tot de conclusie dat de specifieke implementatie op de Galaxy S8, S9 en S10, maar ook de modernere S20 en S21 een kwetsbaarheid bevat waarmee het wachtwoord achterhaald kan worden.

De kwetsbaarheid zit in de Keymaster Trusted Application, een stuk software dat cryptografische taken uitvoert. Die Keymaster TA verpakt sommige aspecten zoals wachtwoorden in versleutelde blobs die alleen door de trusted execution environment kunnen worden gelezen. De manier waarop de AES-GCM-encryptie op die blobs wordt toegepast, is volgens de onderzoekers voorspelbaar als aanvallers een aanval op de Initialization Vector uitvoeren.

Die Initialization Vector is een salt die wordt toegevoegd aan een blob voordat die versleuteld wordt. De IV-salt is in bepaalde blob-versies die Samsung gebruikt, gebaseerd op factoren als de applicatiedata en een applicatie-ID. De onderzoekers ontdekten dat de Initialization Vector in combinatie met een encryptiesleutel daarom altijd hetzelfde, voorspelbare resultaat genereert. Een aanvaller kan daarmee 'triviale decryptie' uitvoeren, schrijven de onderzoekers.

Volgens hen zit de kwetsbaarheid in zeker honderd miljoen Samsung-toestellen. De wetenschappers hebben de bug doorgegeven aan Samsung, dat de kwetsbaarheid heeft geclassificeerd als CVE-2021-25444. Er is inmiddels een patch voor uitgebracht.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-02-2022 10:54
23 • submitter: Peter_Utrecht

24-02-2022 • 10:54

23

Submitter: Peter_Utrecht

Lees meer

GitHub versus securityonderzoekers

7 mei 2021

GitHub versus securityonderzoekers

Op zoek naar de toelaatbaarheid van malware

19
Trusted execution environments

7 sep 2020

Trusted execution environments

Hoe veilig zijn beveiligde enclaves op chips?

67
Mozilla fixt twee actief misbruikte kwetsbaarheden in Firefox met patch
Mozilla fixt twee actief misbruikte kwetsbaarheden in Firefox met patch Nieuws van 7 maart 2022
Microsoft brengt Secured-core-label voor extra beveiligingseisen naar servers
Microsoft brengt Secured-core-label voor extra beveiligingseisen naar servers Nieuws van 8 december 2021
Onderzoekers ontdekken lek in Intel-chips die lekken wachtwoorden mogelijk maakt
Onderzoekers ontdekken lek in Intel-chips die lekken wachtwoorden mogelijk maakt Nieuws van 16 november 2021
Lek in Qualcomm-chips maakte afluisteren van beveiligd deel van socs mogelijk
Lek in Qualcomm-chips maakte afluisteren van beveiligd deel van socs mogelijk Nieuws van 14 november 2019
Meer producten en artikelen
Beveiliging en antivirus Samsung Galaxy Galaxy S Arm

Reacties (23)

-Moderatie-faq
23
23
14
5
0
3
Wijzig sortering

Sorteer op:

Weergave:
GtrCraft 24 februari 2022 11:18
Ehm dit is al gepatched in security update van augustus 2021?
Indentical @GtrCraft24 februari 2022 11:37
Het zou natuurlijk vreemd zijn als de media een nieuws artikel publiceren over een kwetsbaarheid dat nog niet gepatched is. De vraag is dan vaak ook wanneer dit soort info door het bedrijf dat de kwetsbaarheid vrij geeft.

EDIT:
Typo gefikst Omdat @Yzord zo'n grapjas is :p

[Reactie gewijzigd door Indentical op 22 juli 2024 14:56]

GtrCraft @Indentical24 februari 2022 11:40
Nee maar dit is al 6 maanden geleden, iets met oude koeien uit de sloot halen
Indentical @GtrCraft24 februari 2022 11:44
Mwa... dat weet ik niet. Ik weet niet hoesnel samsung dergelijke patched uitbrengt en op welke schaal. Het kan zijn dat ze preventief voor al hun toestellen dergelijke updates hebben uitgebracht en dan spreek je toch wel over een behoorlijke line-up en daar gaat tijd in zitten. Het kan daar mee te maken hebben.

Althans... dat zou ik denken. die uit rol word over miljoenen devices gedaan worden.
en anders haalt tweakers inderdaad oude koeien uit de sloot.
Daoka @GtrCraft24 februari 2022 14:53
Maar natuurlijk updaten mensen niet altijd gelijk hun telefoon. Ik ken mensen die alleen maar 1 kerr in de zoveel tijd updaten omdat ze niet steeds met de potentiële veranderen willen omgaan. Of helemaal niet willen updaten maar doen omdat men de update bericht zat wordt. En mensen die al eens eerder problemen hadden dat een update problemen gegeven heeft (zoals tragen maken van de telefoon) en dus maar eerst afwachten.

Misschien had het iets korter kunnen zijn maar te kort is ook niet goed.
Yzord @GtrCraft24 februari 2022 13:08
Zolang ze maar ketsbaar zijn :+

Sorry, kon het niet laten @Indentical
Darkstriker @GtrCraft25 februari 2022 00:58
Wellicht werd langer gewacht met publiceren om de doorsnee gebruiker ruim de gelegenheid te geven om de patch te installeren. Bizar veel mensen vinden het updaten zo irritant, dat ze het haast nooit uitvoeren of hun telefoon zit to vol of dergelijke onzin. Dat is ook de grootste reden dan MS Windows zo agressief heeft gemaakt op dat vlak. Anders krijg je gigantische aantallen eindgebruikers die kwetsbaar zijn voor gedocumenteerde lekken.

[Reactie gewijzigd door Darkstriker op 22 juli 2024 14:56]

gimbal @Indentical24 februari 2022 14:39
... nee, dat is niet vreemd. Gebeurd vaak genoeg. Het is maar hoe gewillig de verantwoordelijke is om het tijdig te patchen.
CyberJohn @GtrCraft24 februari 2022 11:26
Yes dat klopt, terug te vinden in het overzicht van de Samsung Security updates;
https://security.samsungm...te.smsb?year=2021&month=8
walterg @GtrCraft24 februari 2022 11:29
Klopt. De timeline uit het paper:
We reported our IV reuse attack on S9 to Samsung Mobile Security in May 2021. In August 2021 Samsung assigned CVE-2021-25444 with High severity to the issue and released a patch that prevents malicious IV reuse by removing the option to add a custom IV from the API. According to Sam- sung [61], the list of patched devices includes: S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-A-S-Lite, A6 Plus, A9S.
We reported the downgrade attack on S10, S20 and S21 in July 2021. In October 2021 Samsung assigned CVE-2021- 25490 with High severity to the downgrade attack and patched models that were sold with Android P OS or later, including S10, S20, and S21. The patch completely removes the legacy key blob implementation.
De Vliegmieren 24 februari 2022 11:54
Hoe kan je checken of je vatbaar bent? Ik heb nog een November 2021 update gekregen op mijn S8.
snollygoster @De Vliegmieren24 februari 2022 11:57
Vreemd, mijn s8 heeft april 2021 als laatste update.
inorde @snollygoster24 februari 2022 12:40
Mijn dochter heeft mijn oude S8 een ook daar is de update van April 2021. Even gecontroleerd maar het toestel geeft aan dat er geen updates zijn.
De Vliegmieren @snollygoster24 februari 2022 13:11
Je kan beter kijken op sammobile dan op je eigen toestel, de uitrol van firmwares is namelijk niet overal ter wereld hetzelfde.

Ik denk dat mijn telco (Orange) een contract met Samsung had dat ze verplichtte om nog beveiligingsupdates uit te brengen in bepaalde gevallen.

Ben dus nu benieuwd of deze CVE gepatched is op de firmware die ik heb.
TheVivaldi @De Vliegmieren24 februari 2022 17:00
Of zonder telco. Op bijv. de BlackBerry KEY2 hadden ze ook een heel schema met wie wat wanneer kreeg. Europa werd vaak een paar keer overgeslagen met beveiligingsupdates, en soms ineens wel weer maar dan bijv. de VS weer niet. Dus ook zonder telco houden fabrikanten er nogal eens een raar updatebeleid op na.
Sando 24 februari 2022 11:43
Is dit het onderdeel dat je vingerafdruk omzet in een decryptiesleutel?
watercoolertje
24 februari 2022 11:16
De wetenschappers hebben de bug doorgegeven aan Samsung, dat de kwetsbaarheid heeft geklassificeerd als CVE-2021-25444.
Vond het al raar dat ik (op de S20+) van de week een 2de update kreeg deze maand terwijl de maandelijkse security-fixes er al op de 3de van de maand waren, mogelijk/hopelijk is dit lek daarmee verholpen.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:56]

Skix_Aces @watercoolertje24 februari 2022 12:05
Zoals hierboven door @GtrCraft is aangegeven is deze patch al in augustus van vorig jaar doorgevoerd. Het artikel heeft ook nergens gezegd dat de S22 die kwetsbaarheid heeft.
watercoolertje
@Skix_Aces24 februari 2022 12:19
Excuses S20+ want die heb ik nu nog :)

Dat die reeds gepatched is vorig jaar had wel in het artikel mogen staan natuurlijk, ook de link naar de CVE (uit het artikel) geeft niet echt veel duidelijkheid en moet je weer zoeken waar je dat kan vinden en zelfs dan zie ik het nergens. Dus ik ben logischerwijs in de waan dat dit net opgelost is en dus net een patch voor is geweest, daarvoor is dit nieuws toch? Niet omdat iets 6 maanden terug gebeurd is?
Zoals hierboven door @GtrCraft is aangegeven is deze patch al in augustus van vorig jaar doorgevoerd.
Ik had de eerste reactie dus er stond (nog) helemaal niks, dat het boven mij staat zegt niks over het moment van posten dat hangt van je sortering af (wss op basis van score ipv tijd, erg handig in een discussie-platform, NOT)...

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:56]

Skix_Aces @watercoolertje24 februari 2022 13:11
Klopt, dat had wel in het artikel mogen staan. Aan de andere kant snap ik wel dat ze er langer mee wachten om het naar buiten te brengen nadat het gepatched is om ervoor te zorgen dat zo veel mogelijk mensen de update hebben geïnstalleerd en dus niet meer kwetsbaar zijn. Als ze de informatie meteen naar buiten hadden gebracht had dit een potentieel beveiligingsrisico kunnen zijn.
Met 24 februari 2022 11:41
Volgens Samsung wel. Dus heel oud nieuws.
DonJunior 24 februari 2022 11:44
Er is inmiddels een patch voor uitgebracht.
Dit is dan wel een heel karig einde. Wellicht fijn om erbij te vermelden van wanneer die patch is en welke patch het betreft dan kunnen mensen controleren of ze deze hebben geinstalleerd.
Dit moet men nu uit de comments vernemen van @CyberJohn (waarvoor dank)
Argantonis 24 februari 2022 17:15
Goh, als dit bij Apple zou zijn geweest waren hier nu 500 replies. Dit is de 22ste hier. Blijft toch interessant hoe Apple tegen een andere lat wordt aangelegd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq