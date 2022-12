Nel corso dell'estate, Samsung ha presentato Knox Vault, un sistema di sicurezza costruito a livello hardware volto a rendere i suoi smartphone virtualmente inaccessibili da qualsiasi hacker o spyware proveniente dall'esterno. Oggi, però, i sistemi di Knox Vault sono capitolati di fronte ad un gruppo di hacker.

Non solo: la "resa" di Knox Vault è stata decisamente disonorevole, dal momento che le difese di Samsung Galaxy S22 sono state espugnate in 60 secondi o poco meno, settando un nuovo record mondiale per quanto riguarda gli smartphone Samsung. A raggiungere tale impressionante risultato sono stati alcuni hacker che hanno partecipato all'hackaton Pwn2Own, attualmente in corso a Toronto, in Canada.

L'hackaton viene organizzato ogni anno per mostrare le abilità degli esperti di sicurezza e degli hacker white-hat nello scoprire vulnerabilità zero-day, perciò è improbabile che la breccia nel sistema di sicurezza dei Galaxy S22 sia nota a gruppi di hacker malevoli attivi sul web. Negli ultimi anni, durante il Pwn2Own, gli esperti hanno scoperto delle gravi falle in device di aziende come HP, Netgear, Sonos, TP-Link, Canon, Lexmark e Western Digital, perciò Samsung è solo l'ultima compagnia ad aggiungersi a una serie decisamente lunga.

In questo caso, diversi hacker hanno rapidamente scoperto delle falle nei Galaxy S22: due di queste si sono rivelate particolarmente critiche e sono state scoperte dagli esperti di STAR Labs e Chim Team già durante il primo giorno dell'hackaton. Meno di 24 ore dopo, gli hacker sono riusciti a utilizzare queste due vulnerabilità per ottenere il controllo completo dello smartphone.

La particolarità del "colpo" dei due team è che essi sono riusciti ad hackerare un Galaxy S22 in soli 55 secondi, contro i 4 minuti circa impiegati dagli altri partecipanti alla manifestazione. Al momento non è chiaro come sia stato possibile raggiungere tale risultato, ma gli esperti parlano di un problema di "validazione impropria degli input".