Logo: Qualcomm // Sammensætning: ZDNet
×
qualcomm.png
Enheder, der bruger Qualcomm chipsæt, og især smartphones og tablets, er sårbare over for en ny sikkerhed fejl, der kan lade angribere hente private data og krypteringsnøgler, der er gemt i et sikkert område af chipset kendt som Qualcomm Sikker Execution Environment (QSEE).
Qualcomm har indsat patches til denne bug (CVE-2018-11976) tidligere i denne måned; men, vel vidende, den sørgelige tilstand af Android OS-opdateringer, vil dette sandsynligvis efterlade mange smartphones og tablets sårbare i de kommende år.
Hvad er QSEE?
Sårbarheden påvirker, hvordan Qualcomm chips (brugt i hundredvis af millioner af Android-enheder) håndterer oplysninger, der behandles inde i QSEE.
Den QSEE er en Trusted Execution Environment (TEE), svarende til Intel ‘ s SGX.
Det er en hardware-isoleret område på Qualcomm chips, hvor Android-STYRESYSTEM og app-udviklere kan sende data til at behandles i et sikkert miljø, hvor Android OS og ingen andre app kan nå og få adgang til følsomme data, bortset fra det program, der er placeret de data, der, i første omgang.
Data, der behandles inde i QSEE normalt omfatter privat-kryptering, nøgler og adgangskoder, men QSEE kan klare alt, hvad en app ønsker at skjule mod nysgerrige blikke.
CVE-2018-11976
I Marts sidste år, Keegan Ryan, en sikkerhedsekspert med NCC-Koncernen, opdagede, at der Qualcomm ‘ s gennemførelse af ECDSA signering, kryptografiske algoritme, må anvendes til hentning af data, der behandles inde i QSEE sikkert område af Qualcomm processor.
For at udnytte denne svaghed, kan en hacker ville nødvendigt med root-adgang på en enhed, men dette er faktisk ikke så stor en hurdle, som det lyder, fordi malware, der kan få root-adgang på Android-enheder, som er helt fælles disse dage, at blive spottet i mange steder, og selv på Play Butikken.
Yderligere, Ryan påpeger også, at den QSEE var designet til at forhindre situationer, hvor angriberne havde fuld kontrol over enheden, hvilket betyder, at QSEE var ikke på den primære funktion det var designet til.
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre