» 뉴스 » 안드로이드 장치의 퀄컴 칩 취약점의 위험 수백만

안드로이드 장치의 퀄컴 칩 취약점의 위험 수백만

포인트 전문가들은 안드로이드 장치의 퀄컴 안전한 실행 환경 위험의 수백만이 취약점을 발견 확인. 취약점은 공격자가 장치의 보호 부분에 저장된 중요한 데이터를 훔칠 수.

ualcomm 안전한 실행 환경 (QSEE) 신뢰할 수있는 실행 환경의 구현입니다 (티) ARM 트러스트 존 (TrustZone) 기술을 기반으로. 사실로, 그것은 중요한 데이터를 보호하고 서로 격리되어 신뢰할 수있는 응용 프로그램을 실행하기위한 안전한 환경을 가지고있는 프로세서의 하드웨어 고립 된 지역이다. 그래서, QSEE에서, 대체적으로, 개인 암호화 키, 암호, 그래서 은행 카드 정보가 포함되어 있습니다.

"오늘, ARM 트러스트 존 (TrustZone)은 모든 현대적인 모바일 기기의 필수적인 부분입니다. 안드로이드 기반의 넥서스 / 픽셀 휴대폰에서 볼 수 있듯이, 트러스트 존 (TrustZone) 구성 요소는 부트 로더에 통합, 라디오, 공급 업체 및 시스템 안드로이드 이미지 ", - 보고서 포인트 전문가를 확인.

QSEE는 최소 권한의 원칙을 기반으로, 일반 세계 시스템 모듈 때문에 (드라이버 및 응용 프로그램) 불필요하게 보호 지역에 액세스 할 수 없습니다, 그들은 루트 액세스 권한이 경우에도. 차례로, 안전한 세계에서 데이터에 대한 액세스는 거의 불가능하다.

하나, 체크 포인트 분석가들은 TEE의 인기 상업적 구현을 ​​공부하고 몇 달 후 문제의 번호를 식별 할 수 있었다, ...을 포함하여:

  • QSEE, 픽셀에 사용, LG, 샤오 미, 소니, HTC, 원 플러스, 삼성 전자와 많은 다른 사람;
  • Trustronic Kinibi, 유럽과 아시아의 삼성 기기에 사용;
  • 하이 실리콘 코어는 대부분의 화웨이 장치에 사용.

결과, 퍼징 신청 후, 다음과 같은 취약점을 발견했다:

  • dxhdcp2 (LVE-SMP-190 005)
  • sec_store (ALL-2019-13952)
  • authnr (ALL-2019-13949)
  • esecomm (ALL-2019-13950)
  • kmota (CVE-2019-10574)
  • tzpr25 (문제는 삼성에 의해 인식)
  • 잠 (모토로라는 문제 해결을 위해 노력한다)
독서  팬시 베어 사이버 범죄자들은 ​​우회 AI 기반의 방어 새로운 백도어를 실행

연구진은 QSEE에서 그 문제를 말한다, 오래된 취약점에 대한 공격과 함께 (포함 CVE-2015-6639 및 CVE-2016년에서 2431년까지), 공격자가 일반 세계 수준의 신뢰할 수있는 응용 프로그램을 실행할 수 있도록, 안전한 세계 출시 "속임수"trustlets, 신뢰 메커니즘의 퀄컴 체인 우회, 심지어 다른 제조업체의 장치에 대한 작업을 신뢰할 수있는 응용 프로그램을 적용.

또한 읽기: 사용자를 요할 수 있었다 인기 안드로이드 키보드에서 악성 코드 $18 백만

문제의 회사 경고 제조 업체는 올해 6 월에 다시, 그리고 따른 포인트를 확인하는, 지금까지 삼성 전자는 이미 네 개의 취약점의 세 가지 고정했다. LG는 하나의 문제를 해결했다, 모토로라는 패치를 해제하겠다고 발표했다 (이 회사는 수정이 이미 준비하고, 패치 수준의 일환으로 발표되어 있다고하지만, 2017-04-05 과 2019-05-05 안드로이드에 대한). 퀄컴 대표, 차례로, 미디어를 말했다 취약점 CVE-2019-10574은 올해 10 월에 고정되었다, 및 Widevine에 관련된 버그가 완전히 다시 고정 2014.

[합계: 0    평균: 0/5]

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주