Criptografia quebrada da Samsung em 100 milhões de telefones
Um especialista em criptografia disse que ‘falhas graves’ na forma como os telefones Samsung criptografam material sensível, conforme revelado por acadêmicos, são ‘vergonhosamente ruins’.
A Samsung vendeu cerca de 100 milhões de smartphones com criptografia mal feita, incluindo modelos que vão desde o Galaxy S8 de 2017 até o Galaxy S21 do ano passado.
Pesquisadores da Universidade de Tel Aviv descobriram o que chamaram de falhas “graves” de design criptográfico que poderiam ter permitido que invasores desviassem as chaves criptográficas baseadas em hardware dos dispositivos: chaves que desbloqueiam o tesouro de dados críticos de segurança encontrados em smartphones.
Além disso, os invasores cibernéticos podem até explorar os erros criptográficos da Samsung – já abordados em vários CVEs – para fazer o downgrade dos protocolos de segurança de um dispositivo. Isso configuraria um telefone para ser vulnerável a ataques futuros: uma prática conhecida como ataques de reutilização IV (vetor de inicialização). Os ataques de reutilização IV estragam a randomização da criptografia que garante que, mesmo que várias mensagens com texto simples idêntico sejam criptografadas, os textos cifrados correspondentes gerados serão distintos.
Implementação não confiável do TrustZone.
Em um artigo (PDF) intitulado “Trust Dies in Darkness: Shedding Light on Samsung’s TrustZone Keymaster Design” – escrito por Alon Shakevsky, Eyal Ronen e Avishai Wool – os acadêmicos explicam que hoje em dia os smartphones controlam dados que incluem mensagens sensíveis, imagens e arquivos; gerenciamento de chaves criptográficas; Autenticação web FIDO2; dados de gerenciamento de direitos digitais (DRM); dados para serviços de pagamento móvel, como Samsung Pay; e gerenciamento de identidade corporativa.
Os autores devem fazer uma apresentação detalhada das vulnerabilidades no próximo simpósio USENIX Security, 2022 em agosto.
As falhas de design afetam principalmente os dispositivos que usam a tecnologia TrustZone da ARM: o suporte de hardware fornecido por smartphones Android baseados em ARM (que são a maioria) para um Ambiente de Execução Confiável (TEE) para implementar funções sensíveis à segurança.
O TrustZone divide um telefone em duas partes, conhecidas como mundo normal (para executar tarefas regulares, como o sistema operacional Android) e mundo seguro, que lida com o subsistema de segurança e onde residem todos os recursos confidenciais. O mundo seguro só é acessível a aplicativos confiáveis usados para funções sensíveis à segurança, incluindo criptografia.
Especialistas em criptografia Wince.
Matthew Green, professor associado de ciência da computação do Johns Hopkins Information Security Institute, explicou no Twitter que a Samsung incorporou “falhas sérias” na maneira como seus telefones criptografam material de chave no TrustZone, chamando-o de “embaraçosamente ruim”.
“Eles usaram uma única chave e permitiram a reutilização intravenosa”, disse Green.
“Então, eles poderiam ter derivado uma chave diferente para cada chave que protegem”, continuou ele. “Mas, em vez disso, a Samsung basicamente não. Em seguida, eles permitem que o código da camada de aplicativo escolha IVs de criptografia.” A decisão de design permite uma “descriptografia trivial”, disse ele.
“Em termos gerais, o AES-GCM precisa de uma nova explosão de dados aleatórios escolhidos com segurança para cada nova operação de criptografia – isso não é apenas um recurso ‘bom de se ter’, é um requisito algorítmico. Na linguagem dos padrões da internet, é DEVE, não DEVE”, enfatizou Ducklin. “Essa aleatoriedade sempre atualizada (no mínimo 12 bytes para o modo de cifra AES-GCM) é conhecida como ‘nonce’, abreviação de Number Used Once – uma palavra de jargão que os programadores criptográficos devem tratar como um *comando* , não apenas como um substantivo”.
Infelizmente, o código criptográfico supostamente seguro da Samsung não aplicou esse requisito, explicou Ducklin. “De fato, permitiu que um aplicativo executado fora do componente de hardware de criptografia segura não apenas influenciasse os nonces usados dentro dele, mas até mesmo escolhesse esses nonces exatamente, deliberadamente e maliciosamente, repetindo-os quantas vezes o criador do aplicativo quisesse.”
Ao explorar essa brecha, os pesquisadores conseguiram realizar um feito que “supostamente seria impossível, ou o mais próximo possível do impossível”, continuou ele. Ou seja, a equipe conseguiu “extrair segredos criptográficos de *dentro* do hardware seguro”.
Tanto para toda a segurança de criptografia que o hardware especial deve impor, Ducklin meditou, como demonstrado pelos vários ataques de desvio de segurança de prova de conceito dos pesquisadores.
A advertência de Ducklin: “Simplificando, quando se trata de usar a criptografia adequada corretamente: Leia o Manual Completo!”
Falhas permitem o desvio de padrões de segurança.
As falhas de segurança não apenas permitem que os cibercriminosos roubem as chaves criptográficas armazenadas no dispositivo: elas também permitem que os invasores ignorem padrões de segurança como o FIDO2.
De acordo com o The Register, a partir da divulgação das falhas pelos pesquisadores para a Samsung em maio de 2021, quase 100 milhões de telefones Samsung Galaxy foram comprometidos. O Threatpost entrou em contato com a Samsung para verificar essa estimativa.
A Samsung respondeu à divulgação dos acadêmicos emitindo um patch para dispositivos afetados que abordavam o CVE-2021-25444: uma vulnerabilidade de reutilização IV no Keymaster Trusted Application (TA) executado no TrustZone. A Keymaster TA realiza operações criptográficas no mundo Secure via hardware, incluindo um mecanismo criptográfico. O Keymaster TA usa blobs, que são chaves “empacotadas” (criptografadas) via AES-GCM. A vulnerabilidade permitiu a descriptografia de blobs de chave personalizados.
Então, em julho de 2021, os pesquisadores revelaram um ataque de downgrade – um que permite que o invasor acione a vulnerabilidade de reutilização IV com processo privilegiado. A Samsung emitiu outro patch – para abordar o CVE-2021-25490 – que removeu a implementação de blob herdada de dispositivos como os telefones Galaxy S10, S20 e S21 da Samsung.
O problema de projetar no escuro.
Não é apenas um problema com a forma como a Samsung implementou a criptografia, disseram os pesquisadores. Esses problemas surgem de fornecedores – eles chamaram Samsung e Qualcomm – mantendo seus projetos de criptografia próximos ao colete, afirmou a equipe de Tel Aviv U.
“Fornecedores,incluindo Samsung e Qualcomm, mantêm sigilo sobre sua implementação e design de TZOSs e TAs”, escreveram na conclusão do artigo.
“Como mostramos, existem armadilhas perigosas ao lidar com sistemas criptográficos. Os detalhes de projeto e implementação devem ser bem auditados e revisados por pesquisadores independentes e não devem depender da dificuldade de sistemas proprietários de engenharia reversa.”
‘Sem segurança na obscuridade’.
Mike Parkin, engenheiro técnico sênior do provedor de SaaS de remediação de riscos cibernéticos corporativos Vulcan Cyber, disse ao Threatpost na quarta-feira que acertar a criptografia não é exatamente brincadeira de criança. É “um desafio não trivial”, disse ele por e-mail. “É por natureza complexo e o número de pessoas que podem fazer uma análise adequada, verdadeiros especialistas na área, é limitado.
Parkin entende as razões pelas quais os criptologistas pressionam por padrões abertos e transparência sobre como os algoritmos são projetados e implementados, ele disse: “Um esquema de criptografia projetado e implementado adequadamente depende das chaves e permanece seguro mesmo que um invasor saiba a matemática e como foi codificado, desde que não tenham a chave.”
O ditado “não há segurança na obscuridade” se aplica aqui, disse ele, observando que os pesquisadores conseguiram fazer engenharia reversa da implementação da Samsung e identificar as falhas. “Se os pesquisadores universitários puderam fazer isso, é certo que o Estado bem financiado, patrocinado pelo Estado e grandes organizações criminosas também podem fazê-lo”, disse Parkin.
John Bambenek, principal caçador de ameaças da empresa de operações de TI e segurança digital Netenrich, junta-se à Parkin no lado “abrir”. “O design de criptografia proprietário e fechado sempre foi um estudo de caso em falha”, observou ele por e-mail na quarta-feira, referindo-se à “ampla gama de abusos de direitos humanos permitidos por comprometimentos de telefones celulares”, como aqueles perpetrados com o notório spyware Pegasus.
“Os fabricantes devem ser mais transparentes e permitir uma revisão independente”, disse Bambenek.
Embora a maioria dos usuários tenha pouco com o que se preocupar com essas falhas (desde que corrigidas), elas “podem ser armadas contra indivíduos sujeitos a perseguição em nível estadual e talvez possam ser utilizadas por stalkerware”, acrescentou.
Eugene Kolodenker, engenheiro de inteligência de segurança da equipe da Lookout, empresa de segurança endpoint-to-cloud, concordou que as melhores práticas ditam o projeto de sistemas de segurança “sob a suposição de que o projeto e a implementação do sistema passarão por engenharia reversa”.
O mesmo vale para o risco de ser divulgado ou até vazado, comentou por e-mail ao Threatpost.
Ele citou um exemplo: AES, que é o padrão de criptografia dos EUA e aceito para informações ultra-secretas, é uma especificação aberta. “Isso significa que a implementação não é mantida em segredo, o que permitiu pesquisas, verificação e validação rigorosas nos últimos 20 anos”, disse Kolodenker.
Ainda assim, o AES vem com muitos desafios, ele admitiu, e “muitas vezes é feito incorretamente”.
Ele acha que a escolha da Samsung de usar o AES foi uma boa decisão. Infelizmente, a empresa “não entendeu completamente como fazê-lo corretamente”.
Uma auditoria de todo o sistema “poderia ter evitado esse problema”, supôs Kolodenker.
Fonte: Threatpost/Dciber.