Security Week 2209: криптография в смартфонах
На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.
Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Читать дальше →
Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Кастомные вордлисты для самых маленьких
- Думаем графами с IPAHound
- Rookee: Как писать FAQ, который будет процитирован ИИ
- Веб-интегратор “Компот”: Письмо от бывшего 💌 Почему реактивация клиентов не работает
- Broken Authentication (Skills Assessment) — HTB Academy
- Защищаем личные номера телефонов на маркетплейсах: соединяем клиента и исполнителя
- Spark_news: Минцифры выделило 40 млрд рублей на развитие видеоплатформы VK
- Теряет ли GitHub доверие индустрии?
- Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
- [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать