Teknoloji dünyasında kullandığımız hiçbir şey tamamen güvenli olmazken, zaman zaman şirketlerin gözünden çok büyük hatalar da kaçabiliyor. İşte bu şirketler arasına geçtiğimiz gün yayımlanan bir araştırma ile birlikte Samsung da katıldı. Tel Aviv Üniversitesi’nden araştırmacıların yaptığı çalışma, Samsung telefonların yıllarca büyük bir hatayla piyasaya sürüldüğünü ortaya koydu.
“Güven Karanlıkta Ölür: Samsung’un TrustZone Keymaster Tasarımına Işık Tutuyoruz” başlığıyla yayımlanan araştırma, Samsung’un Galaxy S8, S9, S10, S20 ve S21 telefon serilerinin tamamında kritik güvenlik açığı olduğunu gösterdi. Araştırmacılar, bu güvenlik açığıyla birlikte telefonların donanım korumalı önlemlere rağmen çeşitli saldırılara kapı açabildiğini ifade ediyorlar.
Anahtarlar, donanım korumalı önleme rağmen ele geçirilebiliyordu
Güvenlik açığı, Samsung’un güvenli bir ortamda anahtar oluşturma, şifreleme, doğrulama ve imza oluşturma gibi kriptografik işlemleri gerçekleştirmeyi sağlayan Keymaster TA isimli katmanında keşfedildi. Açık nedeniyle yalnızca Güvenilir Yürütme Ortamı’nda (TEE) okunabilmesi gereken anahtarlar, tekrar kullanılan ‘İlklendirme vektörü’ saldırısıyla ele geçirilebiliyordu.
Araştırmacılar, bu güvenlik açığının yaklaşık 100 milyon Samsung akıllı telefonda bulunduğunu belirtti. Güvenlik açığı, ancak bugün detaylandırılsa da aslında geçtiğimiz yıl keşfedilmişti. Fakat araştırmacılar, güvenlik açığını herkese açık bir şekilde paylaşmadan önce Samsung’la paylaştı. Bunun sonucunda Samsung, Mayıs 2021’de güncellemeyle birlikte açığı kapattı.
