This year, Black Hat Asia is held online and in-person, May 9-12, 2023 in Singapore Time (UTC+8). Yue-Tien Chen and Zih-Cing Liao, cyber threat intelligence researchers from TeamT5, will give a talk on the topic “Operation Clairvoyance: How APT Groups Spy on the Media Industry”.

From TeamT5’s long term research, cyber espionage actors have demonstrated great interest in the media industry. These actors seem to like to see Taiwan's daily activities through the "eyes" of these media companies and journalists. During Taiwan's intense 2022, TeamT5 saw more and more [advanced persistent threat (APT)](https://teamt5.org/en/posts/what-is-advanced-persistent-threat-apt/) groups infiltrate Taiwan's media industry. In our observation, the media has become the first non-government target of those APT groups.

This talk will focus on APT's targeted attack against media companies in Taiwan. We dubbed this series of attacks "Operation Clairvoyance." Because Taiwan has a much more intensive political situation, such as the former US House Speaker Nancy Pelosi's visit and the 2022 Local Election, we will dissect more than 20 targeted attack operations TeamT5 has tracked since 2020. Our analysis shows technical links between these targeted attacks and the notorious Chinese APT, including APT23 (aka GouShe), APT41 (aka Winnti, Amoeba), and BlackTech (aka Huapi).

TeamT5 researchers’ presentation will cover these attacks' [tactic, techniques and procedures (TTPs)](https://teamt5.org/en/posts/what-are-tactics-techniques-and-procedures-ttps/). We have seen those APT groups adopt different TTPs aimed at media companies. Some of those backdoor abuse cloud service as their C2.

More importantly, these cases gave us a peek into China's strategic move. We believe that these APT attacks are the preliminary work of the Chinese government. Also, our strategic intelligence indicates several possible scenarios which could lead us to consider the ultimate goal of these APT attacks. 

By sharing this talk at Black Hat Asia, TeamT5 hopes more people and organizations are aware of this topic.

 

<center>
![black_hat_asia_2023_picture.jpg](https://uploads.teamt5.org/upload/original/black_hat_asia_2023_picture.jpg)
</center>

 


## About Black Hat Asia
Black Hat is the world leading cybersecurity event, and remains the best and biggest event of its kind. It provides attendees with cutting-edge security research, development and trends, and has the ability to define tomorrow’s information security landscape. Black Hat Asia is an Black Hat extended event which is held in Singapore annually.

【Black Hat Asia】TeamT5 Will Give the Talk on “How APT Groups Spy on the Media Industry”

全球資安盛會「亞洲黑帽安全大會」（Black Hat Asia, BHASIA）今年以線上與實體混合方式舉辦，自 2021 年 5 月 9 日至 12 日（新加坡時間 UTC+8），為期3天的精彩議程（Black Hat Briefing）、專業深度培訓（Training），以及最新開源駭客工具的展示（Black Hat Arsenal），由頂尖資訊安全專家們傳授最新、第一手的技術與研究發現。

TeamT5 威脅情資研究員們連續第3年登上 BHASIA，本次將發表演講「千里眼行動 : 威脅族群是如何採取針對媒體業的間諜行動（Operation Clairvoyance: How APT Groups Spy on the Media Industry）」，並與世界各地的資安研究人員交流最新的資訊安全風險、研究與趨勢。

根據 TeamT5 長期研究，網路間諜行動者持續對媒體業表現出極大的興趣。這些行動者似乎喜歡通過這些媒體公司和記者的「眼睛」觀察台灣的日常活動。2022 年，臺灣局勢更顯嚴峻，TeamT5 觀察到越來越多的[進階持續性威脅（advanced persistent threat, APT）](https://teamt5.org/tw/posts/what-is-advanced-persistent-threat-apt/) 族群滲透到臺灣的媒體業。 據我們觀察，媒體業已成為這些 APT 組織的第一個非政府組織類型的攻擊目標。

本次演講將重點關注 APT 族群針對臺灣媒體公司的針對性攻擊。 我們將這一系列攻擊稱為「千里眼行動」。 由於時任美國眾議院議長佩洛西(Pelosi)女士訪臺，及2022年臺灣地方選舉，帶來更加緊張的臺灣政治局勢，而我們將剖析自2020年以來追蹤的二十多次針對性攻擊行動。我們的研究顯示，這些針對性攻擊與惡名昭彰的中國 APT 族群有技術關聯性，包括 APT23（又名 GouShe）、APT41（又名 Winnti、Amoeba）和 BlackTech（又名 Huapi）。

TeamT5 研究員的演講將涵蓋這些攻擊的[戰術、技巧和程序（TTP）](https://teamt5.org/tw/posts/what-are-tactics-techniques-and-procedures-ttps/)。我們已經觀察到到那些 APT 族群針對媒體公司，採取不同的 TTP，其中一些後門程式則濫用雲服務作為他們的 C2 (command and control)。

更重要的是，這些案例讓我們窺見了中國的戰略。 我們認為，這些 APT 攻擊是中國政府的前期工作。 此外，我們的威脅情資指出了幾種可能的情況，這些情況可能會讓我們考慮這些 APT 攻擊的最終目標。

透過在 Black Hat Asia 分享，TeamT5 希望更多的人和組織意識到這個議題。

 

<center>
![black_hat_asia_2023_picture.jpg](https://uploads.teamt5.org/upload/original/black_hat_asia_2023_picture.jpg)
</center>

 

## 關於黑帽大會（Black Hat）
黑帽大會（Black Hat）每年聚集全球資訊安全專家、優秀研究人員於一堂，透過資安研究、開發與最新趨勢交流，鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會（Black Hat Briefing）與培訓（Training）每年也都在美國、歐洲與亞洲舉行，匯集全球資安頂尖人員參與盛會。

【Black Hat Asia】TeamT5 研究員將再度於亞洲黑帽安全大會發表深度分析

## About D39

D39 focuses on vulnerability research and has identified several critical security flaws, including technical exploitation of mobile, IoT devices, and Linux and Windows operating systems. We have reported dozens of vulnerabilities and dedicate to Samsung Vulnerabilities and Exposures (SVE) and Common Vulnerabilities and Exposures (CVE).

Before diving into the main subject this month, we are glad to announce that TeamT5 is again accepted at Black Hat USA, and our vulnerability research team, D39, will talk at the Black Hat Briefings in the upcoming August. We are honored to share our research findings with researchers and security experts all over the world and expect more recognition of Taiwan's vulnerability researchers in the world.

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769445/D39_6-1_6807f98c9b.png)
[Black Hat Session](https://www.blackhat.com/us-20/briefings/schedule/index.html#breaking-samsungs-root-of-trust-exploiting-samsung-s-secure-boot-20290)

This article will cover a part of our talk at Black Hat USA in August.

## Introduction

We have found several vulnerabilities in Samsung Secure boot, which can break through Samsung Knox protections. We can even retrieve users' sensitive data from a locked device. The affected Samsung mobiles include Galaxy S8, S9, and S10. Patches to these vulnerabilities have been provided by Samsung.

One of these vulnerabilities allows attackers to execute arbitrary code in Galaxy S8 secure bootloader to access the device. In this article, we will elaborate how we exploit these vulnerabilities to bypass S8 secure bootloader through the USB device and obtain arbitrary code execution in early boot stage.

Note: Another security research team found this vulnerability at the same time and report it to Samsung.
ID: SVE-2019-15230 (details below).
![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769435/SVE-2019_3bc5eea84d.png)

## KNOX

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769436/D39_6-2_ee457f68cd.png)
[Image courtesy](https://docs.samsungknox.com/whitepapers/knox-platform/hardware-backed-root-of-trust.htm)

As the market leader of smartphone, Samsung conducts a series of protection on Android, known as the Knox Platform, to ensure the security of its devices. During the booting process, Samsung uses S-boot (Secure Boot) to make sure it can only boot a stocked image. If the device tries to boot a custom image, it will trip (turned from 0X0 to 0X1) a one-time programmable bit e-fuse (a.k.a Knox bit). Once a trustzone app (trustlet) detects the Knox bit tripped, it will delete the encryption key of sensitive data to prevent unauthorized data from accessing the locked device.

## Vulnerability

Smartphones with Samsung Exynos processor use a exclusive secure bootloader named S-boot. S-boot has ODIN mode which allows users to upgrade the firmware manually. Due to the insufficiency in its code, the flash command (opcode: 0x66) in ODIN mode is not able to properly check the flash image size, which leads to buffer overflow.

The flash command in ODIN mode uses a temporary buffer to store the image. In Galaxy S8, the buffer is located at 0xC0000000, right in front of sboot code segment (0xC9000000). Although the system will check to ensure that the size being no larger than 0x1e0000, it uses signed comparison to check the size of the image; thus provide us some space to get around. We therefore provide a size larger than 0x80000000, making buffer overflowed and, in the end, the following segments such as code, stack, and heap will be overwritten.

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769435/D39_6-3_8b038e080e.png)

## The Exploit

### Code Execution

Although we can overflow the code segment of S-Boot, we still cannot hijack the execution flow. Since USB receivers use physical memory to hold the data it received directly, we cannot affect instruction cache unless the cache line has been invalidated.

Fortunately, the heap segment is not cached due to MMU flag. There are some pointers stored in the heap segment, which can be accessed during the USB process. If we overwrite these pointers with null bytes, the processor will trigger an exception and trap into the exception handler while accessing to NULL pointers. Since the handler has never been executed, it is not cached in the instruction cache. Therefore we can also overwrite the exception handler simultaneously and hijack it directly to our shellcode.

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769437/D39_6-4_58c7cc6a95.png)

### Booting Custom Kernel

Since all the run-time data has been overwritten -- including stack, heap and global variables -- the sboot fail to perform further booting operation. These kinds of data are difficult to recover, so we must re-execute the booting process.

Under normal condition, S-boot calls several functions in a particular function table which is located at 0xC90C7350. To re-execute s-boot, these functions have to be invoked sequentially again. They would initialize the memory of heap and stack, set the global variables, and boot the kernel at the end. However, these functions also involve some SMC calls which cannot be executed twice. Since we only compromised EL1 (Exception Level 1), the trustzone in EL3 (Exception Level 3) cannot be reverted. As a result, we have to overwrite these SMC calls with NOP instruction while overflowing the code segment to ignore those SMC (System Management Controller) calls.

After all the run-time data has been reset, we replace the original kernel with our custom one. Then we execute one last function to boot our custom kernel and get the **root privilege without blowing KNOX bit**.

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769436/D39_6-5_2f6b6f9ccd.png)

## Timeline

2019-10-02 Report Vulnerability
 
2019-10-08 Informed Vulnerability duplicated and release patch note

## Appendix: Potential Exploit Path on Galaxy S10

According to our analysis, this vulnerability affects Galaxy S9, Galaxy S10 and Galaxy Note 10 as well. Among them we find that exploitation can still be trigger at different address. For instance, even the temporary buffer located at different addresss, like 0x890000000 in Galaxy S10, there are still chances to exploit it. To explain the complete exploitation flow, we choose the firmware, G970FXXU1ASD5, as an example.

In Galaxy S9 and later version, there is another feature added to the secure boot - compressed_download. It uses another buffer to store the flash image. However if compressed_download failed during the initialization, it will fallback to normal download, and use the buffer (0xC0000000) to store the flash image.

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769435/D39_6-6_724f86aa51.png)

To make S-boot fallback to normal download, we have to make the function `cd_v3_smp_register` fail. After reversing, we noticed that the function `cd_v3_smp_register` may return failed if there is no available core(`booted_cores` > 3) can be booted. Coincidentally, there is a test command - "smp_boot_test" in the UART (Universal Asynchronous Receiver/Transmitter) console. The command smp_boot_test will boot a core and add the count of the booted_cores. Although `smp_boot_test` shutdown the booted up core immediately, it didn't restore the count. Therefore, the compressed_download_init may failed if the command `smp_boot_test` has been invoked more than twice before entering the download mode.

If we have the UART debug cable to get the UART console, we can call the command`smp_boot_test` 3 times and enter the download mode via the command `usb`. The `compressed_download_init` would fail, then the temporary buffer fallback to 0xC0000000. Therefore the arbitrary code execution on S10's bootloader can be achieved as the one in Galaxy S8.

We managed to build our own TypeC debug cable at first. However, after trying every kinds of Pull-up/down resistor value, TypeC accessory mode, TypeC VDM, we cannot yet figure out a cable for RID_523K detection. Still, in the end, we applied other approach that enable us to attain **Galaxy S10 Secure Bootloader's permission of arbitrary code** without having debug cable.

We will have a thorough display on Black Hat. Stay tuned!

For the latest vulnerability research from D39, please follow:

TeamT5 official website: [https://teamt5.org/](https://teamt5.org/ "https://teamt5.org/")

Twitter: [https://twitter.com/TeamT5_Official](https://twitter.com/TeamT5_Official)

BlackHat's Talk: Breaking Samsung's Root of Trust - Exploiting Samsung Secure Boot

## D39について

D39は脆弱性研究に注力しており、モバイル、IoTデバイス、LinuxおよびWindowsオペレーティングシステムへの技術的な悪用を含めた、重大なセキュリティ上の欠陥を複数特定しています。私たちが報告した脆弱性は何十種類におよび、SVE（Samsung Vulnerabilities and Exposures）とCVE（Common Vulnerabilities and Exposures）を専門としています。

今月の本題に入る前に、Black Hat USAにTeamT5が再び招待され、来る8月のBlack Hat情報説明会では、当社の脆弱性調査チームであるD39が講演することになりましたのでお知らせします。私たちの研究成果を世界中の研究者やセキュリティ専門家と共有できることを光栄に思うとともに、台湾の脆弱性研究者が世界でより高く評価されることを期待しています。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769445/D39_6-1_6807f98c9b.png)
[Black Hatセッション](https://www.blackhat.com/us-20/briefings/schedule/index.html#breaking-samsungs-root-of-trust-exploiting-samsung-s-secure-boot-20290)

本記事では、8月に開催されたBlack Hat USAでの講演の一部をご紹介します。

## はじめに

Samsungセキュアブートに複数の脆弱性が見つかり、Samsung Knoxの保護を突破できることが判明しました。ロックされたデバイスから、ユーザーの機密データを取り出すこともできます。影響を受けるSamsung製モバイルフォンGalaxy S8、S9、S10です。これらの脆弱性に対するパッチが、Samsung社から提供されています。

これらの脆弱性の1つでは、攻撃者がGalaxy S8のセキュアブートローダーで任意のコードを実行して、端末にアクセスすることができます。本記事では、USBデバイスを使用して、こういった脆弱性を悪用しS8のセキュアブートローダーを回避し、起動初期段階で任意のコードを実行させる方法について詳しく見ていきましょう。

備考：別のセキュリティ研究チームも同時にこの脆弱性を発見しており、Samsungに報告しています。
ID：SVE-2019-15230（詳細は以下を参照）。

**SVE-2019-15230：ブートローダでの整数がオーバーフローする可能性**
- 重大度：クリティカル
- 影響を受けるバージョン：Exynosチップセットを搭載したN(7.x)、O(8,x)、P(9,0)
- 報告日：2019年8月8日
- 情報開示状況：非公開。
- ブートローダ内における符号付き整数と符号なし整数の型の不一致により、整数のオーバーフローが発生する可能性がある。
- パッチでは、変数の型を符号なし整数に変更することで、整数のオーバーフローを防止している。


## KNOX

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769436/D39_6-2_ee457f68cd.png)
[画像のソース](https://docs.samsungknox.com/whitepapers/knox-platform/hardware-backed-root-of-trust.htm)

スマートフォン市場のリーダーとして君臨するSamsungは、自社のデバイスのセキュリティを確保するため、Android上で様々な保護を実施しており、これはKnoxプラットフォームと呼ばれています。起動時にSamsungはS-boot（セキュアブート）を使用して、保管されている画像のみしか起動できないようにしています。デバイスがカスタムイメージを起動しようとすると、1回だけプログラムできるビットe-fuse（通称Knoxビット）がトリップします（0X0から0X1へと変化）。トラストゾーンアプリ（trustlet）はKnoxビットのトリップを検出次第、機密データの暗号キーを削除し、不正なデータがロックされたデバイスにアクセスできないようにします。

## 脆弱性

Samsung Exynosプロセッサを搭載したスマートフォンは、S-bootと呼ばれる独自のセキュアブートローダーを採用しています。S-bootにはODINモードがあり、ユーザーはこのモードを使うことで、手動でファームウェアをアップグレードすることができます。そのコード内に不備があることから、ODINモードのフラッシュコマンド（オペコード：0x66）は、フラッシュイメージのサイズを正しくチェックすることができず、それによりバッファオーバーフローへとつながります。

ODINモードのflashコマンドは、画像を保存するにあたり一時的なバッファを使用します。Galaxy S8では、バッファは0xC0000000にあり、これはsbootコードセグメント（0xC9000000）のすぐ前に位置しています。システムはサイズが0x1e0000より大きくならないように確認しますが、画像のサイズをチェックするにあたり符号付きで比較するため、ここに回避するためのスキが生まれます。そのため、0x80000000より大きなサイズを指定してバッファをオーバーフローさせれば、最終的にコード、スタック、ヒープなどの後続のセグメントが上書きされます。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769435/D39_6-3_8b038e080e.png)

## 弱点の悪用

### コードの実行

S-Bootのコードセグメントをオーバーフローさせることはできますが、実行フローをハイジャックすることはできません。USBレシーバーは受信したデータを直接物理メモリに保持するため、キャッシュラインが無効化されない限り、命令キャッシュに影響を与えることはできないからです。

幸い、MMUフラグがあることから、ヒープセグメントはキャッシュされていません。ヒープセグメントにはいくつかのポインターが格納されており、これらのポインターにはUSB処理中にアクセスすることができます。これらのポインターをNULLバイトで上書きすると、プロセッサは例外をトリガーし、NULLポインターへのアクセス中に例外ハンドラーにトラップされます。ハンドラーは一度も実行されていないため、命令キャッシュにはキャッシュされません。従って、例外ハンドラーも同時に上書きすることで、私たちが作成したシェルコードに引き込んで直接ハイジャックすることができます。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769437/D39_6-4_58c7cc6a95.png)

### カスタムカーネルの起動

スタック、ヒープ、グローバル変数を含めたすべてのランタイムデータが上書きされたため、sbootはこれ以降の起動に失敗します。こういったデータは復旧が困難なため、起動プロセスを再実行する必要があります。

通常、S-bootは、0xC90C7350にある特定の関数テーブル内から複数の関数を呼び出します。s-bootを再実行するためには、これらの関数を再度順次に呼び出す必要があります。関数がヒープやスタックなどのメモリを初期化し、グローバル変数を設定して、最後にカーネルを起動します。しかしながら、これらの関数には2回実行できないSMC呼び出しも含まれています。EL1（例外レベル1）のみを侵害しているので、EL3（例外レベル3）のトラストゾーンを元に戻すことはできません。ですから、SMC呼び出しをNOP命令で上書きしながら、これらのSMC（System Management Controller）呼び出しを無視するために、コードセグメントをオーバーフローさせる必要があります。

すべてのランタイムデータがリセットされた後、オリジナルのカーネルをカスタムカーネルに置き換えます。その後、最後の関数を実行してカスタムカーネルを起動し、**KNOXビットをブローさせることなくルート権限** を取得します。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769436/D39_6-5_2f6b6f9ccd.png)

## タイムライン

2019年10月02日 脆弱性を報告
 
2019年10月08日 脆弱性を重複できたことを報告し、パッチノートをリリ

## 付録：Galaxy S10に存在する潜在的な悪用パス

当社の分析によると、この脆弱性はGalaxy S9、Galaxy S10、Galaxy Note 10にも影響を及ぼします。これらの機種の中では、異なるアドレスであったとしても弱点の悪用がトリガーされる可能性があることがわかりました。例えば、Galaxy S10の0x890000000のように、一時バッファが異なるアドレスにある場合でも、悪用される可能性はあります。悪用の完全な流れを説明するために、ファームウェアであるG970FXXU1ASD5を一例として挙げています。

Galaxy S9以降のバージョンでは、セキュアブートにもう一つの機能であるcompressed_downloadが追加されています。この機能は、別のバッファを使用してフラッシュイメージを格納します。しかしながら、初期化中にcompressed_downloadが失敗した場合、通常のダウンロードにフォールバックし、フラッシュイメージの保存にはバッファ（0xC0000000）が使用されます。


![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1591769435/D39_6-6_724f86aa51.png)

S-bootを通常のダウンロードにフォールバックさせるためには、```cd_v3_smp_register```関数を失敗させる必要があります。入れ替えを行ったところ、起動できるコアがない場合に（`booted_cores` > 3）、関数```cd_v3_smp_register```が失敗を返す可能性があることに気づきました。偶然にも、テストコマンドである```smp_boot_test```がUART（Universal Asynchronous Receiver/Transmitter）コンソールにあります。smp_boot_testコマンドはコアを起動し、booted_coresのカウント数を加算します。```smp_boot_test```は起動したコアをすぐにシャットダウンしますが、カウントは復元されませんでした。そのため、ダウンロードモードに入る前に```smp_boot_test``` コマンドを2回以上実行すれば、compressed_download_init が失敗する可能性があります。

UARTデバッグケーブルでUARTコンソールを取得していれば、```smp_boot_test```コマンドを3回呼び出して、```usb```コマンドでダウンロードモードに入ることができます。```compressed_download_init```は失敗し、一時バッファが0xC0000000にフォールバックします。そのため、Galaxy S8の場合と同様に、S10のブートローダ上で任意のコードを実行することが可能になります。

最初は、当社自身でTypeCデバッグケーブルを構築することに成功しました。しかしながら、レジスタ値、TypeCのアクセサリーモード、TypeCのVDMであらゆる値を試してみましたが、RID_523Kを検出するケーブルはまだ見つかっていません。最終的には、デバッグケーブルなしで、**Galaxy S10セキュアブートローダーの任意のコード許可** を得ることができる別の方法を適用しました。

Black Hatで詳しく説明する予定です。お楽しみに。

D39が実施した最新の脆弱性調査については、以下を参照してください。

TeamT5公式ウェブサイト： [https://teamt5.org/](https://teamt5.org/ "https://teamt5.org/")

ツイッター： 
 
[TeamT5](https://twitter.com/TeamT5_Official)
 
[TeamT5 株式会社](https://twitter.com/TeamT5_JP)

BlackHatでのトーク：SamsungのRoot of Trustを破壊 - Samsungのセキュアブートへの悪用

Technical Analysis

We were glad to announce that TeamT5 was again accepted at Black Hat USA. And this time, our vulnerability research team, D39, presented their latest exploit research on Samsung S10 secure bootloader at the Black Hat Briefings. We were very honored to share our research findings with researchers and security experts all over the world in this annual flagship conference.

![BHUSA_cover](https://res.cloudinary.com/dvgomg5gh/image/upload/v1596699298/BHUSA_cover_48fcf0b266.jpg)
_TeamT5's vulnerability researcher presented on Black Hat USA 2020._

## About D39's Vulnerability Research Finding

D39 has been focusing on vulnerability research and has identified several critical security flaws. We have found several vulnerabilities in Samsung Secure boot, which can break through Samsung Knox protections. In Black Hat USA 2020, we elaborated how did we discover and exploit the vulnerabilities in detail, demonstrated the exploit on a Samsung Galaxy S10 smartphone, and had a discussion on the possible impact of these vulnerabilities.

![Disclosure timeline](https://res.cloudinary.com/dvgomg5gh/image/upload/v1596699297/Disclosure_timeline_422975e76a.jpg)
_Timeline of the vulnerability disclosure, patch release and assignment of SVE IDs._

## About Black Hat
Black Hat is the world’s leading information security event, and remains the best and biggest event of its kind. It provides attendees with cutting-edge security research, development and trends, and has the ability to define tomorrow’s information security landscape. Black Hat USA 2020 went fully virtual this year, held over the same dates from 1 to 6 August, in light of the coronavirus pandemic.

*Image courtesy of Black Hat from https://www.blackhat.com/us-20/

Black Hat’s Talk: D39 Shares Their Research on Breaking Samsung Secure Boot at Black Hat USA 2020

TeamT5はBlack Hat USAへ再度招かれたことを発表させていただきます。今回、当社の脆弱性調査チームであるD39が、Black HatのブリーフィングでSamsung S10セキュアブートローダーで起こった侵害に関する最新の調査結果を発表しました。当社はこのメジャーな年次カンファレンスで、世界中の研究者やセキュリティ専門家へ調査結果を発表できることを光栄に感じています。

![BHUSA_cover](https://res.cloudinary.com/dvgomg5gh/image/upload/v1596699298/BHUSA_cover_48fcf0b266.jpg)
_TeamT5の脆弱性専門家がBlack Hat USA 2020で調査結果を発表しました。_

## D39の脆弱性調査結果について

D39は脆弱性の調査に焦点を当てており、数種類の深刻なセキュリティの脆弱性を見つけています。当社はSamsungセキュアブートで複数の脆弱性を発見し、Samsung Knoxの保護を突破できることが判明しました。Black Hat USA 2020では、脆弱性を見つけた方法と侵害方法を詳細に解説し、Samsung Galaxy S10スマートフォンで侵害を実演し、こうした脆弱性が与える影響について話し合いました。

![Disclosure timeline](https://res.cloudinary.com/dvgomg5gh/image/upload/v1596699297/Disclosure_timeline_422975e76a.jpg)
_Timeline of the vulnerability disclosure, patch release and assignment of SVE IDs._

## Black Hatについて
Black Hatは世界的な情報セキュリティイベントであり、同種では最高レベルかつ最大規模のイベントです。セキュリティで最先端の調査、開発、状況を参加者に伝えるため、将来の情報セキュリティ環境を整えることが可能です。COVID-19のパンデミックを受け、Black Hat USA 2020は今年度すべてバーチャルにて同じ8月1日～6日に開催されました。

*画像のソース: Black Hat, from https://www.blackhat.com/us-20/

【Black Hat Asia】TeamT5 Will Give the Talk on “How APT Groups Spy on the Media Industry”

About Black Hat Asia

Related Post

BlackHat's Talk: Breaking Samsung's Root of Trust - Exploiting Samsung Secure Boot

Black Hat’s Talk: D39 Shares Their Research on Breaking Samsung Secure Boot at Black Hat USA 2020