Verifique Especialistas apontam descobriu que as vulnerabilidades nas Qualcomm seguro Execution Environment milhões pôr em perigo de dispositivos Android. Vulnerabilidades permitir atacantes para roubar dados críticos armazenados em partes protegidas do dispositivo.
Qualcomm seguro Execution Environment (QSEE) é uma implementação do Meio Ambiente Trusted Execution (TEE) baseado na tecnologia ARM TrustZone. de fato, é uma área isolada por hardware do processador que protege os dados importantes e tem um ambiente seguro para executar aplicativos confiáveis que são isolados uns dos outros. assim, em QSEE, Como uma regra, chaves de criptografia privadas, senhas, informações de cartão de banco e assim por diante estão contidos."Hoje, ARM TrustZone é uma parte integrante de todos os dispositivos móveis modernos. Como visto em telefones Nexus / pixel baseados em Android, componentes TrustZone estão integrados no bootloader, rádio, fornecedores e sistema de imagens Android”, - relatório Verifique especialistas Ponto.
QSEE baseia-se no princípio do menor privilégio, assim módulos do sistema normal mundo (drivers e aplicativos) não pode acessar áreas protegidas desnecessariamente, mesmo se eles têm acesso root. por sua vez, o acesso aos dados em seguro Mundo é quase impossível.
Contudo, Verifique analistas apontam foram capazes de identificar uma série de problemas após vários meses estudando as implementações comerciais populares de TEE, Incluindo:
- QSEE, usada em Pixel, LG, Xiaomi, Sony, HTC, OnePlus, Samsung e muitos outros;
- Trustronic Kinibi, usado em dispositivos Samsung na Europa e Ásia;
- Hisilicon núcleo usado na maioria dos aparelhos Huawei.
como um resultado, após a aplicação de difusão, foram descobertas as seguintes vulnerabilidades:
- dxhdcp2 (LVE-SMP-190 005)
- sec_store (ALL-2019-13952)
- authnr (ALL-2019-13949)
- esecomm (ALL-2019-13950)
- kmota (CVE-2019-10574)
- tzpr25 (problema reconhecido pela Samsung)
- prov (Motorola está trabalhando em uma correção)
Os pesquisadores dizem que os problemas em QSEE, combinado com explorações para vulnerabilidades velhos (incluindo CVE-2015-6639 e CVE-2016-2431), permitir que invasores executem aplicativos confiáveis em nível normal Mundial, lançamento de “enganado” trustlets em seguro mundo, e de bypass Qualcomm Cadeia de mecanismo de confiança, e até mesmo adaptar aplicativos confiáveis para trabalhar em dispositivos de outros fabricantes.
Leia também: Malware no popular, teclado Android pode custar usuários $18 milhão
A empresa alertou os fabricantes de problemas nas costas, em junho deste ano, e de acordo com a Check Point, até agora Samsung já fixou três das quatro vulnerabilidades. LG resolveu um problema, e Motorola anunciou apenas a sua intenção de lançar um patch (embora a empresa disse que as correcções já estão prontos e lançado como parte do nível de patch 2017-04-05 e 2019-05-05 para Android). representantes da Qualcomm, por sua vez, disse à imprensa que a vulnerabilidade CVE-2019-10574 foi fixado em outubro deste ano, eo bug relacionado ao Widevine foi completamente fixo volta 2014.
