Чип Qualcomm ошибка представляет риск для безопасности приложений аккаунт

По словам исследователя Киган Райан безопасности, хакер может использовать жучок для использования как мобильные приложения давайте в знак за смартфоном. Если злоумышленник использует эту уязвимость, чтобы украсть пару ключей, злоумышленник может подделать устройства из любой точки мира, – сказал он.

Qualcomm Chip Bug Poses Risk to App Account Security

Ошибка безопасности была раскрыта в десятки чипсеты Qualcomm, которые могли бы проложить путь для вредоносных программ для Android, способным красть доступ к вашим электронным счетам.

Проблема рассматривается технология Qualcomm, который был разработан для безопасного хранения закрытых ключей шифрования на борту устройства. Компания Qualcomm безопасной среде исполнения или QSEE можете сделать это, поместив ключи в изолированной зоне чипа, который по-прежнему отделен от основного процессора.

В QSEE должна быть непробиваемой, даже когда операционная система Android была скомпрометирована. Но, видимо, реализация компании Qualcomm не идеальна. Вы на самом деле можете управлять системой, чтобы утечки закрытых ключей, хранящихся внутри QSEE, по словам Кигана Райан, исследователь с кибербезопасностью фирма концерна NCC.

Во вторник он опубликовал документ, документирование уязвимость. Чтобы снять рубить, Райан обнаружил, что он может анализировать чипе Qualcomm кэш-памяти для подсказки о том, как собрать воедино закрытых ключей внутри QSEE. Он продемонстрировал это путем извлечения 256-битным ключом по алгоритму ECDSA с Нексус 5х телефона после сбора образцов кэш-памяти в течение 14-часового периода.

По словам Райана, хакер может использовать ошибка безопасности для использования как мобильные приложения давайте в знак за смартфоном. После того как мы ввели пароль, мобильное приложение обычно генерирует пару криптографических ключей, который может использоваться, чтобы доказать, что все дальнейшие попытки входа в систему приходят из одного и того же устройства.

Qualcomm Chip Bug Poses Risk to App Account Security

“Однако, если злоумышленник использует эту уязвимость, чтобы украсть пару ключей, злоумышленник может подделать устройства из любой точки мира, и пользователь не может его остановить путем отключения питания или уничтожая их устройства,” Райан сказал в PCMag.

Злоумышленнику не нужен физический доступ к компании Qualcomm-устройство для извлечения ключей. Что необходимо есть root доступ к телефону, что может быть достигнуто путем получения вредоносных программ на устройство.

Конечно, любой успешный вредоносные инфекции могут вызывать все виды хаоса. Но Райан сказал, что уязвимость Qualcomm-это еще опасно, потому что он может сделать уже серьезное нападение хуже. “Злоумышленник может запустить вредоносную программу один раз, и извлеките ключ. Теперь у них есть постоянная и неограниченная возможность создания (проверки подлинности) подписей”, – добавил он.

Хорошей новостью является то, что компания Qualcomm исправлены ошибки безопасности (уязвимости CVE-2018-11976), который влияет на чипсеты Snapdragon С в том числе 820, 835, 845 и 855, среди многих других. Компания Райана, НКК Группа, компания Qualcomm будет сообщено об уязвимости еще в марте 2018 года.

“Мы высоко оцениваем группы НКК за использование ответственной практики раскрытия окружающие их исследования безопасности”, – сказал торгов. “Технологии компании Qualcomm выпустил исправления для OEM-производителей (производителей оригинального оборудования) в конце прошлого года, и мы рекомендуем пользователям обновлять свои устройства как патчи становятся доступны у OEM-производителей.”

Исправление также выкатывает обновления безопасности апрель Андроида.

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: