Segons han descobert investigadors de la Universitat de Tel Aviv, Samsung ha venut almenys 100 milions de smartphones Android amb un defecte de seguretat que podria haver permès a hackers extreure informació confidencial i xifrada dels dispositius. Pel que sembla és un problema específic amb la manera en què certs dispositius Samsung Galaxy emmagatzemen claus criptogràfiques en el sistema ARM TrustZone.
TrustZone és una tecnologia utilitzada per protegir la informació confidencial aïllant-la del sistema operatiu principal. En els dispositius de Samsung, TrustZone Operating System (TZOS) s'executa juntament amb Android i realitza tasques de seguretat sensibles i funcions criptogràfiques que es mantenen separades de les aplicacions normals.
S'ha confirmat que aquest problema està present en les últimes generacions de dispositius Galaxy de Samsung com els Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 i Galaxy S21.
Els propis investigadors van ser capaços d'extreure informació confidencial que normalment es xifraria, com les contrasenyes emmagatzemades en un dispositiu. També informen que van poder eludir l'autenticació de dos factors basada en maquinari.
Samsung oferirà 4 anys d'actualitzacions d'Android
Els investigadors van informar de la vulnerabilitat a Samsung el maig de 2021. El fabricant sud-coreà va corregir el problema de seguretat l'agost de 2021, cosa que significa que aquest error no hauria d'afectar els telèfons intel·ligents Galaxy que executen l'última actualització del sistema operatiu.
És bona notícia que trigaran poc a solucionar l'error, encara que no sabem si tots els dispositius afectats, especialment els Galaxy més antics, s'hauran actualitzat per solucionar aquest error de seguretat.
El principal problema d'aquest error de seguretat és que ha estat actiu durant molts anys sense que ningú el solucionés, per la qual cosa l'han pogut fer servir hackers per extreure informació durant anys. Afortunadament Samsung ja ha solucionat aquest error, però per a això és necessari tenir les últimes actualitzacions de programari de la companyia.