Die Hackergruppe Lapsus$ ist beim koreanischen Hersteller Samsung eingedrungen und hat dort vertrauliche Daten abgezogen. Anfang März hat die Gruppe dann 190 GByte an Daten des Herstellers Samsung veröffentlicht. Dazu gehört auch der Quellcode von Samsung-Produkten. Das könnte durchaus Einfluss auf bestimmte Sicherheitsfunktionen in Samsung Mobilgeräten haben.
Anzeige
Blog-Leser X hatte in diesem Kommentar zu meinem Blog-Beitrag Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen bereits auf den Hack von Samsung durch die Erpressergang Lapsus$ hingewiesen. Die Hackergruppe, die die gehackten Unternehmen erpresst und bei Nichtzahlung die erbeuteten Informationen veröffentlicht, hatte 190 GByte an vertraulichen Daten des Herstellers Samsung veröffentlicht. Zu den veröffentlichten Daten gehören:
- einen Dump des Quellcodes und zugehörige Daten der in der TrustZone-Umgebung von Samsung installierten vertrauenswürdigen Applets (TA) – diese werden für sensible Vorgänge wie Verschlüsselung, Zugangskontrolle etc. verwendet
- die Quellcodes von Algorithmen für alle biometrischen Entsperrvorgänge.
- den Bootloader-Quellcode für alle aktuellen Samsung-Geräte
- den vertraulichen Quellcode von Qualcomm
- den Quellcode für die Aktivierungsserver von Samsung
- den vollständigen Quellcode für die Technologie zur Autorisierung und Authentifizierung von Samsung-Konten, einschließlich APIs und Dienste
Unklar ist, ob die Erpresser Samsung vor der Veröffentlichung der Daten kontaktiert und Lösegeld verlangt hat. Nun hat Samsung diesen Hack gemäß nachstehendem Tweet und diesem Artikel der Kollegen von Bleeping Computer bestätigt.
Gegenüber Bloomberg hat Samsung den Angriff auf seine IT-Netzwerke und den Abfluss der vertraulichen Daten einschließlich des Quellcodes eingestanden (Artikel im Webarchiv). Samsung schreibt dazu:
Anzeige
There was a security breach relating to certain internal company data. According to our initial analysis, the breach involves some source code relating to the operation of Galaxy devices, but does not include the personal information of our consumers or employees. Currently, we do not anticipate any impact to our business or customers. We have implemented measures to prevent further such incidents and will continue to serve our customers without disruption.
Bestätigt wird also, dass Sourcecode von Galaxy-Modellen beim Hack erbeutet wurde. Samsung schreibt, dass keine Kundendaten durch die Hacker erbeutet wurden. Das Datenleck nach diesem Hack könnte für Samsung aber unangenehm werden, das der Quellcode der diversen, in Samsung Mobilgeräten verwendeten KNOX-Sicherheitsfunktionen und der TrustZone-Umgebung nun öffentlich ist. Das könnte von interessierten Dritte zum Aufspüren von Schwachstellen verwendet werden.
Nur mal so spekuliert: Im Herbst 2021 hieß es, dass ein digitaler Personalausweis auf Mobilgeräten kommt – wobei Samsung laut dieser Mitteilung mit dem Samsung Galaxy S20 die Voraussetzungen zum Speichern des elektronischen Identität (eID) geschaffen hat. Wenn jetzt essentielle Sicherheitsfunktionen der Galaxy-Modelle im Quellcode vorliegen, weckt dies bei mir nicht gerade Vertrauen. Und wenn Samsung es nicht schafft, seine Kronjuwelen vor externen Hackern zu schützen, ist es mit der IT-Sicherheit der Branche wohl auch nicht allzu weit her.
Anzeige
Wenn essentielle Sicherheitsfunktionen im Quellcode vorliegen schafft das eher Vertrauen. Jedenfalls wenn dann nach dem zwangsläufig folgenden "Audit" interessierter Hacker keine Probleme gefunden werden. Samsung lernt das halt jetzt auf die harte Tour – Secuity by obscuity geht nicht.
Unabhängig vom Hack, finden Sicherheitsforscher immer wieder ganz andere Probleme bei Samsungs Trusted Enviroment Implementationen.
Samsung Knox Sicherheitsprobleme gab es von Anfang an und Samsung kann einfach kein Security.
Z. B.:
2014 https://mobilesecurityares.blogspot.com/2014/10/why-samsung-knox-isnt-really-fort-knox.html
2016 https://seclab.skku.edu/wp-content/uploads/2016/12/Knox_ICACT.pdf
https://arxiv.org/pdf/1605.08567
2021 https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/
2022 https://eprint.iacr.org/2022/208
Samsungs Sicherheitskonzept ist einfach nicht zu trauen, wenn es um sensible Themen wie eID geht.
Das BSI sollte Samsung seine eID Zertifizierung entziehen.
22 Tage bis zum Fix:
https://www.samsungknox.com/en/blog/downtime-planned-due-to-major-upgrade-to-knox-cloud-services
Das ein Trusted Enviroment nicht mal eben so hinprogrammiert ist, ist bekannt aber dann sollte Sasmung Leute nicht in die Irre führen, dass sie ihren Geräten blind vertrauen können.
Samsungs Gelder wären in besser in Audits, statt in Knox Marketingbudgets investiert und nun kommt die Quittung.
Derzeit sind ca. 100 Millionen Geräte betroffen.
Google macht mit der Pixel Serie einen deutlich besseren Job.
Und wenn jemand keine Pixel Datensammelmaschine mit sich herumtragen will, kann ich nur GrapheneOS empfehlen. Gibt nur Gutes zu berichten.