Security Week 2209: криптография в смартфонах
На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.
Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Читать дальше →
Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes
- MediaGuru: Кейс: Как мы увеличили бронирования в 3 раза за один день с помощью Яндекс.Директ
- Каждый шестой рекламодатель малого бизнеса увеличил рекламный бюджет в пять раз за год
- 60% российских музеев используют технологии, но треть считает цифровизацию переоцененной
- Яндекс Директ запустил управление рекламой на базе ИИ в мессенджерах
- MARGO & Lil Pump взяли бронзу на премии НПБК за эффективную промо-кампанию трека Kukareku
- Креативная премия G8 Creative Awards 2026 открыла приём работ
- Как не получить бан в Claude: возможные причины и решения
- [Перевод] Модели угроз пакетных менеджеров
- Spark_news: Почти половина работающих россиян регулярно сталкиваются со стрессом на работе