Miliony zagrożonych smartfonów. Qualcomm z luką bezpieczeństwa w procesorach

Miliony zagrożonych smartfonów. Qualcomm z luką bezpieczeństwa w procesorach17.11.2019 21:49
Kolejny producent procesorów z problemami, fot. Shutterstock.com

Choć ostatnio w kontekście luk bezpieczeństwa w procesorach mówi się głównie o Intelu, nie oznacza to, że konstrukcje innych producentów gwarantują pełne bezpieczeństwo. Błędy sprzętowe w procesorach Qualcomm pozwalają wykraść prywatne dane użytkowników Androida, przestrzegają badacze z Check Point.

Luki znajdują się w obrębie enklawy Secure Execution Environment (QSEE), która jest formą implementacji zaufanego środowiska wykonawczego, opartą na technologii Arm TrustZone. Nominalnie przechowywane są tam najbardziej wrażliwe dane, wymagające izolacji od procesów użytkownika. Mogą to być klucze kryptograficzne, hasła czy dane uwierzytelniające płatności. Specjaliści udowodnili, że izolację QSEE można przełamać.

Architektura bezpieczeństwa czipów Qualcomm, podobnie zresztą jak wszystkich innych współczesnych Arm, zakłada podział całej przestrzeni adresowej na dwie pule, zwane światami bezpiecznym i normalnym. W teorii oprogramowanie działające w świecie bezpiecznym powinno być w całej rozciągłości odizolowane od pozostałych procesów, włączając w to nie tylko warstwę użytkownika i kernel, ale nawet operacje na pamięci oraz peryferia. I faktycznie tak jest. Tyle tylko, że do czasu interwencji ze strony osób trzecich.

Rozbroili całą linię obrony

Dostępu do świata bezpiecznego strzeże mikrosystem Qualcomm Trusted OS. W dużym skrócie odpowiada on za walidację podpisu, który muszą mieć aplikacje uprawnione, porównując kolejne segmenty certyfikatu apki do tych zapisanych w pamięci nieprogramowalnej przez producenta smartfonu. Jeśli są zgodne, proces trafia do strefy izolacji, a jeśli nie, to uruchamiany jest niczym normalny, niezaufany program. Bez dostępu do wrażliwych danych.

Jednak spece z Check Point dowiedli, że mechanizmy kontrolne można na szereg różnych sposobów oszukać. Najgroźniejszy z nich, patrząc z perspektywy użytkownika, polega na emulacji bezpiecznego programu ładującego w świecie normalnym, przez co aplikacje wymagające ochrony tracą izolację. Bo uruchamiają się niczym wszystkie inne. W efekcie wrażliwe dane w pamięci stają się jawne dla innych procesów trybu użytkownika. A na tym nie koniec.

Korzystając z techniki fuzzingu, ustalono, że odpowiednio manipulując zawartością pamięci, można uruchomić w świecie bezpiecznym program z podpisem innego producenta niż jest atakowane urządzenie. Albo z poziomu zaufanego procesu uruchomić niezaufany kod dziedziczący uprawnienia. Mówiąc obrazowo, architektura bezpieczeństwa czipów Qualcomm została po prostu przez Check Point rozbrojona. Nie najlepiej świadczy to o bezpieczeństwie smartfonów.

Co dalej? Wyrzucić smartfon?

Eksperci uspokajają, że ich nowe odkrycie nie zmienia wektora zagrożeń. Wciąż niezbędne pozostaje szkodliwe oprogramowanie, które wykryte exploity wykorzysta. Jednocześnie, jak podają, przynajmniej w pewnym stopniu luki można załatać firmware'em. Ponoć nie tylko Qualcomm, ale także Samsung i LG wydali już stosowne łatki. Osobną kwestię stanowi to, kiedy i czy w ogóle trafią one na dany model smartfonu. Nie od dziś wiadomo, jak wygląda sprawa aktualizacji Androida. Odpowiadając krótko na powyższe pytanie, powodów do paniki nie ma.

Co jednak nie zmienia faktu, że niezmiennie warto mieć na uwadze, jaki software i skąd pochodzący instaluje się na swoim telefonie. Summa summarum niniejsza historia to kolejny argument pod tezę o tym, że żadna forma zapory nie zadba o użytkownika tak, jak zrobi to on sam.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na