中睿天下发布三星数据泄露事件调查分析报告（一）-网盾网络安全培训学校

中睿天下发布三星数据泄露事件调查分析报告（一）

2021年3月4日，曾窃取并发布Nivida泄露数据的黑客组织Lapsus$组织发布该组织窃取的三星电子相关数据，压缩后大小共计189G，Lapsus$ 将数据分成三个压缩文件，并将整个 189 GB 的数据以种子的形式公开在互联网上。

根据黑客公布的泄露数据的描述，三星TrustZone环境中安装的每个Trusted Applet的源代码据称都被用于执行访问控制、二进制加密和硬件密码学等多种功能。

黑客还声称还包括Knox的源代码，三星Knox是一款预装于大多数三星智能手机、平板电脑和可穿戴设备上的企业级掌上设备安全加密芯片。

针对此种情况，中睿天下分析人员第一时间跟进数据泄露情况并针对泄露的数据做了初步的评估，下述内容即为分析人员针对三星泄露数据的初步判断：

该目录主要内容为三星针对手机、无线耳机音频接收的研究方案、测试代码、测试工具、以及解决方案源码。研究的内容包括

1、针对SBM情况下的音频解调、解码、语音编码

2、针对airpods收音效果、方案进行分析

3、针对pixel google语音助手进行分析

4、3QUEST通话降噪解决方案

5、无线音频传输降噪编码解决方案

该目录主要内容为三星的asks程序策略文件，包括疑似白名单的由sha256哈希值组成的xml文件，证书文件，以及用作编译的makefile文件。

asks为三星knox安全系统和安卓底层selinux进行交互的安全组件。

该目录内容主要是三星针对不同环境下的的TRUSTAPPLICATION的编译脚本和基本库环境针对的环境为以下几种

1、使用ndk或sdk进行编译

2、针对高通骁龙SM8150（855）、SM8250（865）TRUSTZONE、基于三星猎户座exynos9830、exynos9820的TEEGRIS进行编译

该目录内容为三星区块链底层代码，包括区块链核心、钱包、支付等部分源码以及针对不同TEE系统下的编译脚本文件。

该目录下主要内容是三星移动设备针对不同平台的ONEUI4.0系统开机引导源码（含SECURE BOOT）

所支持的平台包括

1、基于高通骁龙的29款机型包括GALAXY A系列机型、S系列机型（手机、平板）、ZFLIP系列机型

2、基于三星猎户座芯片的三款S22机型

该目录下主要包括三星当前版本安卓系统下所有的安全防御措施源码，以及对应的SDK、NDK代码，以及编译过后的so文件。

该目录下主要内容是三星针对自家移动平台（高通、Exynos）下所对应的TEE系统（QSEE、TEEGRIS）中运行的TA（TRSUTED APPLICATION，指运行在TEE中的软件）软件部分源码，包括以下TA：

内容同B2B_PEBBLE目录。

该目录内容为三星自带输入法部分源码以及针对中文的适配，适配的内容包括：敏感词、特有词汇、简繁中文电码

未完待续，此文仅为报告的第一波分享内容，敬请期待后续连载~