महत्वपूर्ण तथ्यों:
एक अध्ययन ने ट्रस्टजोन हार्डवेयर में कमजोरियों का खुलासा किया, जो एन्क्रिप्टेड डेटा को स्टोर करता है।
सप्ताह पहले, ब्रांड ने अपने गैलेक्सी एस 22 मॉडल में एक एकीकृत बिटकॉइन वॉलेट की घोषणा की।
सेल फोन तेजी से “पोर्टेबल तिजोरी” के रूप में कार्य करते हैं जो प्रत्येक व्यक्ति अपनी जेब में रखता है। इस कारण से, निर्माताओं के लिए सुरक्षा एक आवश्यक विषय है, जो अपनी सुरक्षा बढ़ाने के लिए क्रिप्टोग्राफ़िक डिज़ाइनों का सहारा लेते हैं। फिर भी, एक अध्ययन ने सैमसंग फोन में उन खामियों का खुलासा किया जो डेटा चोरी की अनुमति देते थे।
तेल-अवीव विश्वविद्यालय (इज़राइल) के कंप्यूटर विज्ञान विशेषज्ञों, एलोन शाकेव्स्की, इयाल रोनेन और अविशाई वूल द्वारा किए गए और प्रकाशित शोध में, सैमसंग उपकरणों में मौजूद कुछ सुरक्षा खामियां विस्तृत हैं। 20 फरवरी, 2022 को प्रकाशित अध्ययन का शीर्षक है ट्रस्ट डाइज इन द डार्क: शेडिंग लाइट ऑन सैमसंग का ट्रस्टजोन कीमास्टर डिजाइन।
अध्ययन में बताया गया है कि एंड्रॉइड ऑपरेटिंग सिस्टम वाले स्मार्टफोन एक सुरक्षित निष्पादन वातावरण बनाने के लिए एआरएम ट्रस्टज़ोन नामक एक हार्डवेयर समर्थन का उपयोग करते हैं (अंग्रेजी में इसके संक्षिप्त नाम के लिए टीईई)। TEE एक TrustZone ऑपरेटिंग सिस्टम (TZOS) चलाता है जो Android से अलग है, यानी यह इसके समानांतर काम करता है।
विज्ञापन
इस प्रकार, यह सुरक्षा के मामले में सबसे संवेदनशील कार्य करता है। ऐसा करने के लिए, यह क्रिप्टोग्राफ़िक फ़ंक्शंस का भी उपयोग करता है।
शेकेव्स्की, रोनेन और वूलो का काम सैमसंग गैलेक्सी S8, S9, S10, S20 और S21 फोन पर इन सुविधाओं का परीक्षण किया। इन लेखकों के अनुसार, ये मॉडल 100 मिलियन से अधिक उपकरणों को कवर करते हैं।
चुनी गई प्रक्रिया क्रिप्टोग्राफ़िक डिज़ाइन और कोड संरचना को रिवर्स इंजीनियर करना था, और परिणामों ने महत्वपूर्ण विफलताओं को दिखाया। इन उपकरणों के सुरक्षा तंत्र एक पुन: उपयोग IV हमले और डाउनग्रेड हमले के माध्यम से प्रभावित हुए थे। ये दो हैकिंग तकनीकें हैं, जो संक्षेप में, सिस्टम को अधिक संवेदनशील बनाने और कंप्यूटर से संरक्षित डेटा निकालने के उद्देश्य से हैं।
विज्ञापन
पहली तकनीक के संबंध में, IV का पुन: उपयोग करें, केवल S9 ने सॉफ़्टवेयर संस्करण डाउनग्रेड होने से पहले भेद्यता दिखाई। उसके बाद, हर कोई असुरक्षित था। साथ ही, लगभग सभी कंप्यूटर डाउनग्रेड अटैक के लिए अतिसंवेदनशील थे। केवल S8 ही उस तकनीक के लिए प्रतिरोधी साबित हुआ।
तकनीकी रूप से, यह जांच में किए गए हमले की संरचना थी। स्रोत: eprint.iacr.org
इन तकनीकों का उपयोग करते हुए, शोधकर्ता “नवीनतम उपकरणों पर भी” जानकारी चुराने में सक्षम थे। इसके अलावा, उन्होंने दावा किया कि उनके हमले “ट्रस्टज़ोन और एक दूरस्थ सर्वर के बीच दो उच्च-स्तरीय क्रिप्टोग्राफ़िक प्रोटोकॉल” को प्रभावित करने में सक्षम थे, साथ ही साथ FIDO2 वेब एपीआई लॉगिन को धोखा देने और Google की सुरक्षित कुंजी आयात सुविधा “समझौता” करने में सक्षम थे।
सैमसंग वॉलेट की प्रतिष्ठा प्रभावित हो सकती है
इन कंप्यूटर वैज्ञानिकों की खोजों को देखते हुए, सैमसंग के विभिन्न उत्पाद अपनी सुरक्षा खामियों के कारण विश्वसनीयता खो सकते हैं। इसके नए गैलेक्सी S22 मॉडल में एकीकृत वॉलेट का मामला हो सकता है, जिसके बारे में हाल ही में क्रिप्टोनोटिसियस ने रिपोर्ट किया था। हालांकि, यह ध्यान दिया जाना चाहिए कि इस सेल फोन को उद्धृत अध्ययन में शामिल नहीं किया गया था।
इन वॉलेट्स में न केवल बिटकॉइन (बीटीसी) जैसी क्रिप्टोकरेंसी को रखने की क्षमता है, बल्कि वास्तव में संवेदनशील व्यक्तिगत जानकारी भी है। उदाहरण के लिए, वे बैंक खाता डेटा, पासवर्ड, डिजिटल संपत्ति, पहचान, क्रेडिट कार्ड और यहां तक कि बोर्डिंग पास स्टोर करने का काम करते हैं। आप महत्वपूर्ण सूचनाओं की सुरक्षा के लिए उपकरणों में निर्मित हार्डवेयर नॉक्स वॉल्ट के उपयोग के माध्यम से “ब्लॉकचैन कुंजी” भी सहेज सकते हैं।
इसलिए, जैसा कि शोधकर्ता अपने काम के समापन में कहते हैं, निर्माताओं सैमसंग और क्वालकॉम को अपने सुरक्षा डिजाइनों का ऑडिट करवाना चाहिए और केवल उन परीक्षणों पर भरोसा नहीं करना चाहिए जो वे करते हैं। अभी तक कोरियाई फर्म ने इस अध्ययन के परिणामों के बारे में खुद को व्यक्त नहीं किया है।