A maioria dos modelos S4 são vendidos desbloqueados e seus proprietários podem instalar livremente (por exemplo) uma versão customizada do Android. Entretanto, pelo menos nos Estados Unidos, a AT&T e a Verizon vendem modelos Samsung Galaxy S4 que utilizam a funcionalidade de secure boot ativa para garantir que apenas os kernels com a assinatura digital da companhia possam ser carregados. Para esse propósito, o bootloader irá verificar se o sistema que será carregado possui uma assinatura digital válida (do tipo RSA-2048, SHA1). O RSA com chaves de 2048-bit não podem ser quebradas com o atual estado-da-arte tecnológico, como também um kernel não é capaz de gerar um valor de hash SHA1. Vale ressaltar que o kernel não necessitaria ser carregado, mas sim possuir o objetivo de permitir um ataque de pré-imagem - que também precisaria ser bem sucedido.
Entretanto, Rosenberg nem precisou quebrar qualquer funcionalidade de criptografia para esse hack. Quando o mesmo estava fazendo engenharia reversa no código, descobriu que o bootload carrega o kernel que será verificado em um endereço de memória que ele pode determinar. Inclusive, o endereço pode ser escolhido de tal forma que o código irá sobrescrever a funcionalidade check_sig() do bootloader, antes do mesmo ser chamado pelo bootloader. O propósito dessa função está em efetuar a verificação de assinatura previamente descrita e detectar dessa forma se existem kernels manipulados. E com a habilidade de manipulação de memória de Rosenberg, o sistema tem sua memória mexida apenas um pouquinho para então retornar como resposta um "tudo está OK".
Saiba Mais:
- Heise Online: Samsung Galaxy S4 already hacked (em Inglês)
Mensagem do Sistema