Samsung poważnie traktuje kwestię bezpieczeństwa swoich klientów – nie bez powodu wydłużył czas wsparcia dla wybranych modeli do pięciu lat. Okazuje się jednak, że ponad 100 mln smartfonów producenta z Korei Południowej miało poważną i potencjalnie niebezpieczną lukę w zabezpieczeniach. Na szczęście ich posiadacze mogą (już) spać spokojnie.
Ponad 100 mln smartfonów Samsunga miało lukę w zabezpieczeniach
Według badaczy z Uniwersytetu Telawiwskiego w Izraelu na rynek trafiło ponad 100 mln smartfonów Galaxy z poważną luką w zabezpieczeniach. Mowa o wybranych (nie wszystkich!) modelach z serii Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 i Galaxy S21. Wspomniana luka potencjalnie umożliwiała wykradzenie wrażliwych informacji, takich jak hasła.
„Potencjalnie”, ponieważ nie ma informacji, aby jakikolwiek haker wykorzystał tę lukę (lub nawet o niej wiedział). Według badaczy z Uniwersytetu Telawiwskiego smartfony dostarczone na rynek nie przechowywały prawidłowo swoich kluczy kryptograficznych. Podatność została odnaleziona w TrustZone Operating System (TZOS), który działa razem z systemem operacyjnym Android, aby zapewnić bezpieczeństwo wrażliwym funkcjom. To właśnie TZOS był winowajcą – nie spełniał swojego zadania zgodnie z założeniami i oczekiwaniami.
Jest jednak dobra wiadomość – lukę odkryto już dawno i została ona załatana za pomocą aktualizacji zabezpieczeń z sierpnia 2021 roku. Jeżeli została zainstalowana – posiadacze potencjalnie zagrożonego urządzenia mogą spać spokojnie. Przy okazji dowiedzieliśmy się też, że aktualizacja z października 2021 roku załatała późniejszą podatność.
Nie wiadomo, które egzemplarze miały lukę w zabezpieczeniach, ponieważ badacze z Uniwersytetu Telawiwskiego użyli określenia „wybrane”, a nie „wszystkie”. Producent stanął jednak na wysokości zadania i wydał stosowną aktualizację, aby posiadacze jego smartfonów byli bezpieczni. Nie powinno również nikogo dziwić, że dowiadujemy się o tym dopiero teraz, gdy – jak to się mówi – jest już „po ptokach”.
To powszechna praktyka – gdy ktoś wykryje jakąś lukę w oprogramowaniu, zgłasza ją producentowi, by ten mógł ją załatać, zanim świat się o niej dowie. Firmy często mają specjalny budżet dla poszukiwaczy luk i nierzadko są bardzo hojne. Zdarzają się jednak sytuacje, gdy z jakiegoś powodu nie są one zainteresowane współpracą – wtedy odkrywca informuje wszystkich o danej luce, co otwiera hakerom furtkę, aby ją wykorzystać.
Na szczęście to jednostkowe przypadki – w większości producenci, podobnie jak tu Samsung, stają na wysokości zadania i szybko reagują na zgłoszenia dotyczące bezpieczeństwa.
Oficjalne oświadczenie Samsunga
Otrzymaliśmy komentarz Biura prasowego Samsunga w Polsce. Zamieszczamy je poniżej w całości:
Samsung bardzo poważnie podchodzi do bezpieczeństwa urządzeń Galaxy. Nieustannie szukamy nowych sposobów zabezpieczenia naszych produktów i doceniamy wkład społeczności badaczy ds. cyberbezpieczeństwa. Po otrzymaniu zgłoszenia, już w sierpniu 2021 roku przygotowaliśmy odpowiednie aktualizacje zabezpieczeń. Rekomendujemy, by wszyscy nasi użytkownicy regularnie aktualizowali oprogramowanie swoich urządzeń.
