Especialistas em segurança estão alertando que cerca de 100 milhões de dispositivos Samsung Galaxy, incluindo telefones S21, correm o risco de uma vulnerabilidade de segurança “grave”. Samsung telefones de cinco gerações, que vão do Galaxy S8 ao S21, estão supostamente sob risco da falha que pode permitir que hackers roubem chaves usadas para pagamentos seguros feitos por meio de sistemas como Google Pay e Samsung Pay. Essa falha permaneceu desconhecida por anos, até que pesquisadores da Universidade de Tel-Aviv encontraram a vulnerabilidade.
Especialistas em segurança em Israel demonstraram dois ataques no mundo real que poderiam ser realizados aproveitando a falha.
No teste, os pesquisadores conseguiram roubar informações altamente confidenciais de dispositivos Samsung que supostamente estavam protegidos no próprio nível do hardware.
Além de dados cruciais relacionados aos sistemas de pagamento, os pesquisadores também conseguiram contornar a autenticação FIDO2 para acessar senhas.
Felizmente, apesar do risco que essa falha representa nos anos em que existiu, os maus atores não a descobriram.
Pesquisadores de Tel-Aviv notificaram a Samsung sobre a ameaça no ano passado, com as correções necessárias lançadas em agosto de 2021.
Para se manter seguro, se o seu telefone Android estiver mostrando seu nível de patch de segurança em julho de 2021 ou abaixo, você precisará instalar as atualizações mais recentes o mais rápido possível.
Falando sobre as descobertas dos pesquisadores, um porta-voz da Samsung disse: “A Samsung leva a segurança dos dispositivos Galaxy a sério. foi resolvido por meio de atualizações de segurança desde agosto de 2021. Recomendamos que nossos usuários mantenham seus dispositivos atualizados com o software mais recente para desfrutar de experiências móveis seguras e convenientes do Galaxy.”
Depois que a falha foi descoberta, um especialista em segurança descreveu a notícia como “embaraçosamente ruim” para a Samsung, enquanto outro disse que a gigante de tecnologia sul-coreana havia cometido um “pecado capital”.
Matthew Green, que é professor associado de ciência da computação no Johns Hopkins Information Security Institute, disse no Twitter: “Ugh, Deus. Falhas graves na maneira como os telefones Samsung criptografam o material da chave no TrustZone e é embaraçosamente ruim. Eles usaram uma única chave e permitida a reutilização IV.”
Enquanto Paul Ducklin, principal pesquisador da Sophos, disse ThreatPost que os codificadores da Samsung cometeram um “pecado criptográfico cardinal”.
Outros disseram que a criptografia, que é o meio usado para comunicação segura em tecnologia, é inerentemente complexa.
Mike Parkin, da Vulcan Cyber, disse: “É por natureza complexo e o número de pessoas que podem fazer uma análise adequada, verdadeiros especialistas no campo, é limitado.
“Um esquema de criptografia projetado e implementado adequadamente depende das chaves e permanece seguro mesmo que um invasor saiba a matemática e como foi codificado, desde que não tenha a chave”.