目录导航
一位密码学专家表示,正如学术界所揭示的那样,三星手机加密敏感材料的方式存在“严重缺陷”,“非常糟糕”。
三星出货了大约 1 亿部加密不完善的智能手机,包括从 2017 年的 Galaxy S8 到去年的 Galaxy S21 的各种型号。
特拉维夫大学的研究人员发现了他们所谓的“严重”密码设计缺陷,这些缺陷可能让攻击者窃取设备的基于硬件的密码密钥:解锁智能手机中安全关键数据宝库的密钥。
更重要的是,网络攻击者甚至可以利用三星的加密失误——因为在多个 CVE 中已经解决——来降级设备的安全协议。这将使手机容易受到未来攻击:一种称为IV(初始化向量)重用攻击的做法。IV 重用攻击与加密随机化相结合,确保即使具有相同明文的多条消息被加密,生成的相应密文也将是不同的。
TrustZone 的不可信实现
在由 Alon Shakevsky、Eyal Ronen 和 Avishai Wool 撰写的题为“Trust Dies in Darkness: Shedding Light on Samsung’s TrustZone Keymaster Design”的论文 ( PDF ) 中,学者们解释说,如今,智能手机控制的数据包括敏感信息、图像和文件;加密密钥管理;FIDO2网络认证;数字版权管理 (DRM) 数据;三星支付等移动支付服务的数据;和企业身份管理。
作者将在即将于 8 月举行的2022 年 USENIX 安全研讨会上详细介绍这些漏洞。
设计缺陷主要影响使用 ARM 的 TrustZone 技术的设备:基于 ARM 的 Android 智能手机(占大多数)为可信执行环境 (TEE) 提供的硬件支持,以实现安全敏感功能。
TrustZone将手机分为两部分,称为正常世界(用于运行常规任务,例如 Android 操作系统)和安全世界,用于处理安全子系统和所有敏感资源所在的位置。只有用于安全敏感功能(包括加密)的受信任应用程序才能访问安全世界。
约翰霍普金斯信息安全研究所计算机科学副教授 Matthew Green在 Twitter 上解释说,三星在其手机加密 TrustZone 密钥材料的方式中存在“严重缺陷”,称其“非常糟糕”。
“他们使用单一密钥并允许 IV 重复使用,”格林说。
“所以他们可以为他们保护的每个密钥派生一个不同的密钥包装密钥,”他继续说道。“但三星基本上没有。然后他们允许应用层代码选择加密 IV。” 他说,设计决策允许“简单的解密”。
缺陷使安全标准绕过
这些安全漏洞不仅允许网络犯罪分子窃取存储在设备上的加密密钥:它们还允许攻击者绕过安全标准,例如 FIDO2。
据The Register报道,截至 2021 年 5 月研究人员向三星披露这些漏洞时,已有近 1 亿部三星 Galaxy 手机受到威胁。Threatpost 已与三星联系以验证该估计。
三星通过发布针对受影响设备的补丁来回应学者的披露,该补丁解决了CVE-2021-25444:在 TrustZone 中运行的 Keymaster 可信应用程序 (TA) 中的 IV 重用漏洞。Keymaster TA 通过硬件(包括加密引擎)在安全世界中执行加密操作。Keymaster TA 使用 blob,它们是通过 AES-GCM “包装”(加密)的密钥。该漏洞允许解密自定义密钥 blob。
然后,在 2021 年 7 月,研究人员披露了一种降级攻击——一种允许攻击者通过特权进程触发 IV 重用漏洞的攻击。三星发布了另一个补丁以解决CVE-2021-25490,该补丁从包括三星 Galaxy S10、S20 和 S21 手机在内的设备中移除了旧的 blob 实施。
在黑暗中设计的问题
研究人员表示,这不仅仅是三星如何实施加密的问题。特拉维夫美国团队断言,这些问题来自供应商——他们呼吁三星和高通——保持他们的密码设计接近背心。
“包括三星和高通在内的供应商对其 TZOS 和 TA 的实施和设计保持保密,”他们在论文的结论中写道。
“正如我们所展示的,在处理加密系统时存在危险的陷阱。设计和实施细节应由独立研究人员仔细审核和审查,不应依赖逆向工程专有系统的难度。”
“默默无闻”
企业网络风险补救 SaaS 提供商 Vulcan Cyber 的高级技术工程师 Mike Parkin 周三告诉 Threatpost,正确使用密码学并不是儿戏。他通过电子邮件说,这是“一个不小的挑战”。“它本质上很复杂,能够进行适当分析的人、该领域的真正专家数量有限。
帕金理解密码学家推动开放标准和算法设计和实施方式透明度的原因,他说:“一个设计和实施得当的加密方案依赖于密钥并保持安全,即使攻击者知道数学及其编码方式,只要他们没有钥匙。”
他说,这句格言“默默无闻没有安全性”在这里适用,并指出研究人员能够对三星的实施进行逆向工程并找出缺陷。“如果大学研究人员能够做到这一点,那么资金充足的国家、国家资助和大型犯罪组织肯定也能做到,”帕金说。
数字 IT 和安全运营公司 Netenrich 的首席威胁猎手 John Bambenek 加入了 Parkin 的“开放”方面。“专有和封闭的加密设计一直是一个失败的案例研究,”他在周三的电子邮件中指出,指的是“手机入侵导致的广泛侵犯人权行为”,例如臭名昭著的Pegasus间谍软件。
“制造商应该更加透明,并允许独立审查,”Bambenek 说。
他补充说,虽然大多数用户对这些(已修补的)缺陷几乎没有什么担心,但它们“可能会被武器化,以对付受到州级迫害的个人,并且可能会被跟踪软件利用”。
端点到云安全公司 Lookout 的安全情报工程师 Eugene Kolodenker 同意,最佳实践要求“在系统的设计和实施将被逆向工程的假设下”设计安全系统。
他通过电子邮件向 Threatpost 评论说,它被披露甚至泄露的风险也是如此。
他举了一个例子:AES,它是美国的密码学标准,被接受为绝密信息,是一个开放的规范。“这意味着它的实施不是保密的,这使得过去 20 年来进行了严格的研究和验证,”Kolodenker 说。
尽管如此,AES 还是有很多挑战,他承认,而且“经常做错了”。
他认为三星选择使用 AES 是一个不错的决定。不幸的是,该公司“并不完全了解如何正确地做到这一点。”
Kolodenker 假设,对整个系统的审计“可能已经避免了这个问题”。
转载请注明出处及链接