Editor Top
Investigadores de la Universidad de Tel Aviv de Israel han descubierto una grave falla de seguridad en los teléfonos inteligentes de Samsung, desde el Galaxy S8 de 2017 hasta el Galaxy S21 del año pasado. Esto es parte de un documento titulado «La confianza muere en la oscuridad: arrojando luz sobre el diseño de Keymaster TrustZone de Samsung» por los académicos Alon Shakevsky, Eyal Ronen y Avishai Wool. El grupo proporcionará una presentación detallada de las vulnerabilidades en el próximo simposio ‘USENIX Security, 2022’.
Estos fallos de seguridad permiten a los ciberdelincuentes robar claves criptográficas almacenadas en el dispositivo. También permite a los atacantes eludir estándares de seguridad como FIDO2. Los investigadores clasificó estos problemas de seguridad como «graves», posiblemente afectando a casi 100 millones de dispositivos Samsung Galaxy (a través de El registro).
Los investigadores demostraron cómo los atacantes podrían potencialmente obtener claves criptográficas respaldadas por hardware de los teléfonos Samsung. Además, los ciberdelincuentes podrían incluso degradar los protocolos de seguridad de un dispositivo, haciéndolo más vulnerable a futuros ataques. Esta es una práctica conocida como ataques de reutilización IV (vector de inicialización).
El problema afecta principalmente a los dispositivos que aprovechan la tecnología TrustZone del fabricante de chips Arm. TrustZone divide efectivamente un dispositivo en dos partes denominadas Mundo normal y Mundo seguro. El mundo normal es el área del dispositivo que ejecuta las tareas habituales, como el sistema operativo Android. El mundo seguro, por otro lado, administra el aparato de seguridad y, por lo tanto, solo es accesible para aplicaciones confiables. Estas son aplicaciones o servicios que el fabricante utiliza para la seguridad y el cifrado del dispositivo.
Los investigadores se comunicaron con Samsung sobre estas vulnerabilidades en agosto del año pasado.
Mientras tanto, el sistema Android Keystore ofrece un sólido sistema de gestión de claves a través de Keymaster Hardware Abstraction Layer o HAL. Esto existe dentro de Secure World dentro de TrustZone y puede bloquear el acceso externo a sus procesos. Las claves criptográficas dentro de este sistema utilizan el estándar de cifrado AES-GCM para la protección. Este estándar protege los elementos al aprovechar la misma clave y solo funciona cuando los IV no se reutilizan.
Sin embargo, como ITPro señala, la versión de Samsung de Keystore tiene una falla grave, que permite a los atacantes robar las claves criptográficas solo al conocer el contenido de una muestra de texto sin formato. Los investigadores demostraron cómo los dispositivos Samsung son susceptibles al ataque de reutilización de IV al permitir que los ciberdelincuentes adjunten IV como parte de los parámetros clave.
Si se infiltran con éxito, los atacantes podrían ingresar a la sección Mundo normal del dispositivo y permitir que el malware se propague desenfrenadamente. Incluso puede otorgar privilegios de root a las aplicaciones de su elección. Y en lugar de ejecutar código dentro del kernel de Android, el atacante podría simplemente ejecutar código dentro del modo de usuario de Android.
Uno de los primeros ataques de reutilización IV se denominó «CVE-2021-25444», y los investigadores le otorgaron una calificación de gravedad «alta». Afortunadamente, Samsung solucionó esta vulnerabilidad en agosto de 2021. También vale la pena señalar que el ataque de degradación que dejó a los teléfonos Samsung más nuevos, como el Galaxy S20 y el Galaxy S21, vulnerables a un ataque de reutilización IV ya no es una preocupación. Samsung arregló esto en octubre de 2021.
La buena noticia es que el equipo de investigación se acercó a Samsung en agosto pasado con los detalles de estas vulnerabilidades. Luego, la compañía publicó estas fallas en el registro de Vulnerabilidades y exposiciones comunes (CVE).
