Samsung hat über Jahre seine Smartphones mit fehlerhafter Verschlüsselung ausgeliefert - Schutz war kaum gegeben.
Wie ein aktuelles Paper der Sicherheitsforscher Alon Shakevsky, Eyal Roen und Avishai Wool von der Universität in Tel-Aviv zeigt, hat Samsung offenbar Millionen seiner Smartphones mit fehlerhafter Verschlüsselung ausgeliefert, wie auch The Register berichtet.
Durch Reverse-Engineering konnten die Experten mehrere Schwachstellen im kryptografischen Design und der Code-Struktur ausmachen. So wurden etwa Probleme in Samsungs Implementation der ARM TrustZone aufgedeckt. Dieser Sicherheitsbereich, der von herkömmlichen Apps und Programmen abgekoppelt ist, ist für besonders sensible Aufgaben ausgelegt. Unter anderem für den Schutz des Lock-Screens oder für Verschlüsselungs-Keys. In dieser isolierten Zone läuft sogar ein unabhängiges OS.
Schutz von Samsung-Smartphones "peinlich schlecht"
Der angesehene Kryptografie-Experte Mathew Green ging auf diesen Fehler ein, und nannte die Umsetzung seitens Samsung "peinlich schlecht". Die Entschlüsselung der Daten sei "trivial" und der eigentliche versprochene Extra-Schutz ist praktisch nicht existent.
Der Tweet im Wortlaut: "Oh Gott. Die Art und Weise, wie Samsung-Telefone das Key-Material in TrustZone verschlüsseln, weist schwerwiegende Mängel auf und ist peinlich schlecht. Sie haben einen einzigen Schlüssel verwendet und die Wiederverwendung von IV (Initialisierungsvektor) erlaubt.
Sie hätten also für jeden Schlüssel, den sie schützen, einen anderen Schlüssel ableiten können. Aber stattdessen tut Samsung das nicht. Dann erlauben sie dem Code der Anwendungsschicht, Verschlüsselungs-IVs auszuwählen. Dies ermöglicht eine triviale Entschlüsselung."
Mehr als 100 Millionen Samsung-Smartphones betroffen
Diese Implementierung ist bei mehreren Samsung-Smartphones den Sicherheitsforschern zufolge mit Fehlern belastet, konkret sollen die Modelle Galaxy S8, S9, S10, S20 und S21 von der fehlerhaften Implementierung betroffen sein, wobei die Zahl der betroffenen Geräte über 100 Millionen Geräten liegen soll.
Ein Sicherheitsupdate hilft: Samsung wurde über diese Fehlimplementierung bereits im Vorjahr informiert und hat die Probleme zumindest in den aktuell noch gewarteten Geräten mittlerweile behoben. Wer alle aktuellen Sicherheitsaktualisierungen eingespielt hat, sollte von diesem Problem so also nicht mehr betroffen sein.