Znaleziono luki w TrustZone, wtyczce wykorzystywanej w prawie połowie smartfonów na świecie. Zachowaj czujność!

18-11-2019, 21:28

We wtyczce TrustZone, do tej pory uważanej za najbezpieczniejszy komponent w smartfonach, znaleziono dziurę. Krytyczne podatności odkryli eksperci z Check Point Research podczas 4-miesięcznego badania systemu bezpieczeństwa. TrustZone odpowiada m.in. za poświadczanie płatności mobilnych i wykorzystywana jest w prawie połowie telefonów komórkowych na świecie.

Technicy Check Point Research w celu zbadania bezpieczeństwa modułu, zbudowali specjalny fuzzer, za pomocą którego znaleziono krytyczne podatności w aplikacjach Qualcomm TrustZone. Luki w zabezpieczeniach jednego z komponentów Trusted Execution Environment (ang. środowiska zaufanego uruchamiania) mogły potencjalnie doprowadzić np. do wycieku zabezpieczonych danych, rootowania urządzeń, odblokowywania bootloaderów, wykonywania niewykrywalnego APT.

TrustZone to wtyczka bezpieczeństwa wbudowana przez ARM w procesor Corex-A. Pozwala ona na stworzenie izolowanej, zabezpieczonej wirtualnej przestrzeni, w której system operacyjny może uruchamiać aplikacje zapewniając prywatność oraz łączność z bogatym systemem. Wirtualny procesor jest często określany jako „bezpieczny świat”, w porównaniu do „niezabezpieczonego świata”, w którym znajduje się REE (Rich Execution Environment), czyli bogate środowisko wykonawcze, oferowane przez same systemy operacyjne. W 2018 r. rynkowi tych procesorów przewodził właśnie Qualcomm z 45% udziałem w przychodach.

Wśród Trusted Execution Environment dla urządzeń mobilnych, wyposażonych w oparty na hardware protokół dostępu ARM wyróżnić można:

  • Qualcomm’s Secure Execution Environment (QSEE, ang. Bezpieczne środowisko uruchomieniowe firmy Qualcomm), wykorzystywany w Pixelach, LG, Xiaomi, Sony, HTC, OnePlus, Samsung i wielu innych urządzeniach;
  • Kinibi firmy Trustronic, wykorzystywany na urządzeniach firmy Samsung na rynki europejskie i azjatyckie;
  • Trusted Core firmy HiSilicon, używany na większości urządzeń Huawei.

Check Point poinformował producentów o znalezionych lukach, a część z nich już wprowadziło łatki dla swoich urządzeń. Samsung załatał trzy luki w zabezpieczeniach, firma LG jedną. Qualcomm również odpowiedział na zgłoszenie i załatał dziurę 13 listopada.

W wyniku przeprowadzonej analizy, firma Check Point Research wezwała użytkowników telefonów komórkowych do zachowania czujności i sprawdzania dostawców kart kredytowych i debetowych pod kątem nietypowych działań. W międzyczasie współpracuje ze wspomnianymi dostawcami w celu poprawy systemów bezpieczeństwa.


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031