Een kwetsbaarheid in de Titan M-beveiligingschip van Google Pixel-telefoons maakt het mogelijk voor aanvallers om encryptiesleutels en andere gevoelige data van het apparaat te stelen. 

Google introduceerde de Titan M-chip in 2018 in Pixel-telefoons. De chip is ontwikkeld om gevoelige data te beschermen en bevindt zich op een aparte system-on-a-chip (SoC) in de telefoon. Het draait ook zijn eigen firmware en communiceert zelf met de applicatieprocessor. De chip wordt voor verschillende doeleinden gebruikt, waaronder het bootproces. Zo verifieert de chip de passcode die gebruikers op een vergrendeld scherm invoeren en regelt het decryptieproces daarna. Third-party apps kunnen de chip gebruiken om private keys te genereren en op te slaan die voor transacties binnen de betreffende apps worden gebruikt.

In mei van dit jaar bracht Google een beveiligingsupdate uit die een kwetsbaarheid in de Titan M-firmware veroorzaakte. Daardoor is het mogelijk voor een aanvaller om code op de beveiligingschip uit te voeren en gevoelige data te stelen, zoals encryptiesleutels. Met de gestolen sleutels is het vervolgens mogelijk om versleutelde data te ontsleutelen.

Google kwam in juni met een update voor het kritieke beveiligingslek (CVE-2022-20233), nadat het in mei ook al een kritieke kwetsbaarheid (CVE-2022-20117) in de Titan M-chip had verholpen.

Alles bij de bron; Security