三星手机被曝重大安全漏洞：涉及上亿部设备

智能手机为人们的衣食住行带来了极大的便利，如今我们的通讯、消费等几乎所有生活所需皆可借由手机完成。

正因为如此，手机的安全防护至关重要，越来越受到用户的关注。

然而，近日却有消息称，知名品牌三星已经出货的上亿部 Android 智能手机存在重大安全漏洞，攻击者很可能利用漏洞从相关设备中获取敏感和加密信息。

据悉，该安全漏洞由以色列特拉维夫大学的研究人员指出，预计涉及此问题的手机包括 Galaxy S8、Galaxy S9、Galaxy S10、Galaxy S20，以及 Galaxy S21等系列机型。

而之所以出现该漏洞，主要是因为 Galaxy 系列手机的 ARM TrustZone 系统中的密钥存在特定问题。

据了解，TrustZone 是一种用硬件将敏感信息与主要操作系统隔离开来，用以保护敏感信息的技术。

三星设备上的 TrustZone 操作系统 (TZOS) 与 Android 系统同时进行运行，执行安全任务和加密功能，与普通应用程序的运行区分开来。

而攻击者则可以利用这个漏洞，提取存储在用户设备上的密码等加密敏感信息。

更重要的是，研究人员还利用该漏洞绕过了基于硬件的双因素身份验证。

在近日发布的一份报告（PDF）中，这些研究人员们详细地介绍了如何绕过三星设备的安全措施。

其中所涉及到的内容包括了设备信任区的软硬件隔离架构解析、一款 Android 应用的硬件密钥管理示例以及安全密钥导入流程流程简析等等。

值得一提的是，早在2021年5月，研究人员就已经向三星报告了该漏洞。

2021年8月，三星就已经对上述安全隐患进行了修复，将不会再影响到运行最新操作系统的 Galaxy 设备。

不过，我们需要提醒大家的是，即便漏洞已经修复，但由于安卓手机系统的更新率并不高，目前设备中的安全补丁过旧，因而可能还是会有上亿部手机存在该漏洞。

若大家仍然在使用老旧的版本，还是建议尽快更新到受支持的最新版本，以维护自身安全。

如果设备已超出了三星的官方支持期，也可考虑换用仍在提供安全更新的第三方定制 ROM 。

此外，研究人员还计划在2022年度安全技术会议 Real World Crypto and USENIX Security 上发表论文，披露这一研究结果。