Haavoittuvuudet eivät koske varsinaisesti Androidin levysalausta, vaan Qualcommin TrustZone-tietoturvasäiliötä. Näin ollen ilmi tullut tietoturvaongelma ei ole varsinaisesti Googlen ongelma, vaan sen yhteistyökumppanin. Haavoittuvuuksien ansiosta hyökkääjällä on mahdollisuus murtaa Androidin levysalaus brute-force-tekniikalla, mikä on normaalissa tilanteessa tehty liian työlääksi ja aikaa vieväksi.
Googlen keino tehdä brute-force-hyökkäyksistä, erityisesti ulkopuolisella laitteella automatisoiduista hyökkäyksistä, voimattomia levysalauksen kohdalla, on ollut monimutkainen KeyMaster-salausavain. Sen tehtävänä on varmistaa, että syötetyt salasanat on tuotettu puhelimella ohjelmistollisesti. Avain säilötään TrustZoneen, josta sen ei pitäisi olla kenenkään saatavilla. Tietoturvatutkija Gal Beniamini on kuitenkin löytänyt ja esitellyt julkisesti tavan kuinka avain saadaan kaapattua. Kun KeyMaster-avain on tiedossa, voidaan puhelimen suojaukseen käytetty salasana selvittää brute-force-tekniikalla.
Haavoittuvuudet on jo paikattu, mutta ongelmana on vain se, että korjauspäivitykset eivät löydä kovin tehokkaasti käytössä oleviin puhelimiin.
Kommentit (1)
"Haavoittuvuudet on jo paikattu, mutta ongelmana on vain se, että korjauspäivitykset eivät löydä kovin tehokkaasti käytössä oleviin puhelimiin."
Tuon takia kannattaa unohtaa mikä tahansa muu kuin Nexus puhelin vaihtoehtona.