Logo: Qualcomm // Samenstelling: ZDNet
×
qualcomm.png
Apparaten met behulp van Qualcomm-chipsets, en met name smartphones en tablets, zijn kwetsbaar voor een nieuwe security bug die laat aanvallers halen privé-gegevens en de coderingssleutels die zijn opgeslagen in een beveiligd gebied van de chipset bekend als de Qualcomm Veilig Execution Environment (QSEE).
Qualcomm heeft ingezet patches voor dit probleem (CVE-2018-11976) eerder deze maand; echter op de hoogte van de droevige staat van Android OS updates, dit zal waarschijnlijk vertrekken vele smartphones en tablets kwetsbaar voor de komende jaren.
Wat is de QSEE?
De kwetsbaarheid van invloed op hoe de Qualcomm-chips (gebruikt in honderden miljoenen Android-apparaten) omgaat met gegevens die worden verwerkt in de QSEE.
De QSEE is een Trusted Execution Environment (t-stuk), vergelijkbaar met Intel ‘ s SGX.
Het is een hardware-geïsoleerde gebied op Qualcomm chips waar het Android OS en app-ontwikkelaars kunnen verzenden gegevens worden verwerkt in een veilige omgeving, waar het Android OS en geen enkele andere app kan bereiken en de toegang tot gevoelige gegevens, met uitzondering van de toepassing die de gegevens er in de eerste plaats.
Gegevens die worden verwerkt in de QSEE meestal voorzien van een eigen encryptie sleutels en wachtwoorden, maar de QSEE kan omgaan met alles een app wil verbergen voor nieuwsgierige ogen.
CVE-2018-11976
In Maart vorig jaar, Keegan Ryan, een security-onderzoeker met de NCC Group, ontdekt dat Qualcomm uitvoering van de ECDSA cryptografische ondertekening algoritme toegestaan voor het ophalen van gegevens die zijn verwerkt in de QSEE beveiligde omgeving van Qualcomm processors.
Dit beveiligingslek te misbruiken, een aanvaller moet root-toegang op een apparaat, maar deze is eigenlijk niet zo een grote hindernis als het klinkt, omdat malware die kan krijgen root-toegang op Android-apparaten is heel gebruikelijk deze dagen, wordt gespot in vele plaatsen, en zelfs op de Play Store.
Verder, Ryan wijst er ook op dat de QSEE is ontworpen om te voorkomen dat situaties waarbij aanvallers hadden de volledige controle over het apparaat, wat betekent dat de QSEE is niet de primaire functie waarvoor het werd ontworpen.
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters