Samsung: Millionen Handys haben "peinlich schlechte" Verschlüsselung

Samsung hat laut israelischen Sicherheitsexperten mehr als Hundert Millionen Smartphones - vom Galaxy S8 bis zum Galaxy S21 -  mit einer fehlerhaften Verschlüsselung ausgeliefert, berichtet Threat Post.  

Angreifer*innen konnten unter Ausnutzung der Schwachstellen die hardwarebasierten Schlüssel der Geräte abgreifen, warnen die Sicherheitsforscher. Auch die Sicherheitsprotokolle der Smartphones könnten herabgestuft und so künftige Attacken ermöglicht werden. In einer vor kurzem veröffentlichten Studie zeigten Alon Shakevsky, Eyal Ronen and Avishai Wool von der Tel Aviv University die Fehler im kryptografischen Design des südkoreanischen Herstellers auf.

Fehlerhaftes Design

Betroffen sind laut den Sicherheitsexperten Geräte, die die TrustZone-Technologie von ARM verwenden. Dabei werden sicherheitsrelevante Funktionen von "normalen" Android-Apps getrennt. Die Ausgestaltung des sogenannten Trusted Execution Environment (TEE) ist den Herstellern überlassen.

Dabei hat Samsung eine Funktion, mit der die Schlüssel verwaltet werden, fehlerhaft implementiert. Das führte unter anderem dazu, dass die Verschlüsselung vorhersehbar wurde und die Schlüssel auch außerhalb der "Sicherheitszonen" zugänglich waren.

Der Informatiker Matthew Green, der die Schwachstellen auf Twitter kommentierte, nannte die Verschlüsselung in den Geräten "peinlich schlecht".

Die israelischen Sicherheitsforscher informierten Samsung im vergangenen Mai über die Schwachstellen. Patches wurden bereits bereitgestellt.