Групата LAPSUS$, което се оказа, че хакна инфраструктурата на NVIDIA, обява наскоро хак, подобен на Samsung в неговия Telegram канал, на което Samsung потвърди, че е претърпял пробив на данни, при който е открадната чувствителна информация, включително изходния код на смартфоните му Galaxy.
Кражбата се случи в края на миналата седмица и това беше Lapsus$, същата хакерска група, която стои зад кражбата на данни на Nvidia, както беше съобщено на 1 март. Lapsus$ твърди, че е откраднал 190 гигабайта данни, включително изходен код на Trust Applet, алгоритми за операции за биометрично отключване, изходен код на зареждащото устройство и поверителен изходен код на Qualcomm.
групата също твърди, че е откраднал изходния код от сървъра за активиране на Samsung, Samsung акаунти и изходен код и различни други данни.
Формата на атака, довела до кражбата на данни, не е ясна. Lapsus$ е известен със своите ransomware атаки, но това не е единственият вид атака, в която участва бандата. Както при Nvidia, хакването на Samsung може да е било проста кражба на данни и изнудване, а не директно използване на ransomware.
Samsung официално нарича кражбата „нарушение на сигурността, свързано с определени вътрешни фирмени данни“.
„Въз основа на нашия първоначален анализ, нарушението включва някакъв изходен код, свързан с работата на устройствата Galaxy, но не включва личната информация на нашите потребители или служители“, каза Samsung в изявление, съобщено от Sammobile. „В момента не очакваме никакво въздействие върху нашия бизнес или клиенти. Приехме мерки за предотвратяване на по-нататъшни подобни инциденти и ще продължим да обслужваме нашите клиенти без прекъсване."
Съобщава се, че са изтекли около 190 GB данни, включително изходен код за различни продукти на Samsung, зареждащи устройства, механизми за удостоверяване и идентификация, сървъри за активиране, система за сигурност на мобилни устройства Knox, онлайн услуги, API, както и собствени компоненти, доставени от Qualcomm, включително съобщение за получаване на кода на всички TA-аплети (Доверен аплет), работещ в изолиран хардуерен анклав, базиран на технологията TrustZone (TEE), код за управление на ключове, DRM модули и компоненти за осигуряване на биометрична идентификация.
Данните са пуснати в обществено достояние и вече са достъпни на торент тракери. По отношение на предишния ултиматум на NVIDIA да прехвърли драйверите на безплатен лиценз, се съобщава, че резултатът ще бъде обявен по-късно.
„Троянските приложения, които събират контакти и идентификационни данни от други приложения, като банкови приложения, са доста често срещани в Android, но възможността за разбиване на биометричните данни на телефона или заключения екран е ограничена до силно финансирани заплахи, включително спонсориран от държавата шпионаж.“ Кейси Бисън, ръководител на връзките с продукти и разработчици във фирмата за кодова сигурност BluBracket
„Изтеклият изходен код би могъл значително да улесни за по-малко добре финансираните заплахи да извършват по-сложни атаки върху по-сигурните функции на устройствата на Samsung.“
Беше отбелязано, че откраднатият код може да даде възможност за сложни атаки като кракване на заключения екран на телефона, ексфилтриране на данни, съхранявани в средата на Samsung TrustZone, и атаки с нулево щракване, които инсталират постоянни задни врати на телефоните на жертвите.
Също така в торента е включено кратко описание на съдържанието, налично във всеки от трите файла:
- Част 1 съдържа дъмп на изходния код и свързани данни за сигурност/отбрана/Knox/Bootloader/TrustedApps и различни други елементи
- Част 2 съдържа дъмп на изходния код и данни, свързани със сигурността и криптирането на устройството.
- Част 3 съдържа различни хранилища на Samsung Github: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend и SES (Bixby, Smartthings, Store)
Не е ясно дали Lapsus$ се е свързал със Samsung за откуп, както твърдят в случая на Nvidia.
Накрая ако се интересувате да научите малко повече за това, можете да проверите подробностите В следващия линк.