Qualcomm исправляет главный недостаток безопасности чипа

Ошибка безопасности может позволить злоумышленникам восстановить закрытые ключи с устройств с чипами Qualcomm

Новый недостаток безопасности, обнаруженный в таких устройствах, как смартфоны и таблицы, использующие наборы микросхем Qualcomm, может позволить злоумышленнику получить личные данные и ключи шифрования, хранящиеся в защищенной области набора микросхем, называемой Qualcomm Secure Execution Environment (QSEE).

Ранее в этом месяце производитель чипов установил исправления для этой уязвимости (CVE-2018-11976), но медленные темпы обновлений Android могут сделать некоторые смартфоны и планшеты уязвимыми на долгие годы.

Читайте так же
Главный генерал США встретится с Google по вопроса... Высокопоставленный военный офицер США встретится с представителями Google на следующей неделе на фоне растущей обеспокоенности тем, что американские компании, ведущие бизнес в Китае, помогают его военным силам в США. Генерал Джозеф Данфорд, председа...
Недостаток опыта останавливает цифровую трансформа... Но, согласно исследованиям, местные ИТ-директора продолжают вести проекты вокруг таких областей, как технологии, основанные на данных, и дополненной реальности. Анжелика Мари для Бразилии Tech | 7 августа 2019.- 22:54 GMT (15:54 PDT) | Тема: Цифрова...
Apple и союзники ищут миллиарды в США для тестиров... Apple Inc и ее союзники в понедельник начнут суд присяжных против поставщика чипов Qualcomm Inc в Сан-Диего, утверждая, что Qualcomm занимался незаконной практикой лицензирования патентов и требовал до 27 миллиардов долларов ущерба. Qualcomm, со сво...

В настоящее время сотни миллионов устройств Android используют чипы Qualcomm, и уязвимость влияет на то, как они обрабатывают данные, обрабатываемые в QSEE Trusted Execution Environment (TEE).

  • Apple и Qualcomm делятся добычей в суде в преддверии важного решения
  • Трамп блокирует попытку поглощения Qualcomm
  • Qualcomm: Wi-Fi 6 и Mesh Networks стимулируют «возрождение» в домашних сетях

QSEE. это аппаратно-изолированная область на чипах компании, где разработчики приложений и сам Android могут отправлять данные для безопасной и надежной обработки таким образом, чтобы они были изолированы от операционной системы и любых других приложений, установленных на устройстве. Частные ключи шифрования и пароли часто обрабатываются внутри QSEE, и ошибка может сделать эту конфиденциальную информацию доступной для хакеров.

Киган Райан из NCC Group впервые обнаружил, что реализация Qualcomm алгоритма криптографического подписания ECDSA может быть использована для извлечения данных, обработанных в защищенной области QSEE его процессоров в марте прошлого года.

Потенциальному злоумышленнику потребуется корневой доступ к устройству, чтобы воспользоваться этой уязвимостью, но теперь киберпреступникам стало легче делать это, поскольку вредоносное ПО, которое может получить root-доступ на устройствах Android, довольно распространено и его даже можно найти в магазине Google Play.

Читайте так же
Главный генерал США встретится с Google по вопроса... Высокопоставленный военный офицер США встретится с представителями Google на следующей неделе на фоне растущей обеспокоенности тем, что американские компании, ведущие бизнес в Китае, помогают его военным силам в США. Генерал Джозеф Данфорд, председа...
Недостаток опыта останавливает цифровую трансформа... Но, согласно исследованиям, местные ИТ-директора продолжают вести проекты вокруг таких областей, как технологии, основанные на данных, и дополненной реальности. Анжелика Мари для Бразилии Tech | 7 августа 2019.- 22:54 GMT (15:54 PDT) | Тема: Цифрова...
Apple и союзники ищут миллиарды в США для тестиров... Apple Inc и ее союзники в понедельник начнут суд присяжных против поставщика чипов Qualcomm Inc в Сан-Диего, утверждая, что Qualcomm занимался незаконной практикой лицензирования патентов и требовал до 27 миллиардов долларов ущерба. Qualcomm, со сво...

Райан подробно описал, как он обнаружил эту уязвимость в недавно опубликованном техническом документе, в котором он объяснил, как он использовал инструмент под названием Cachegrab для анализа кэшей памяти чипов Qualcomm с целью выявления небольших утечек в процессе подписания цитологических данных ECDSA, сказав:

"Мы нашли два места в алгоритме умножения, которые пропускают информацию о одноразовом номере. Оба эти местоположения содержат контрмеры против атак по побочным каналам, но благодаря пространственному и временному разрешению наших микроархитектурных атак, можно преодолеть эти контрмеры и выделить несколько битов одноразового номера. Этих нескольких бит достаточно для восстановления 256-битных ключей ECDSA."

Райан уведомил Qualcomm о недостатке безопасности в прошлом году, и с тех пор компания выпустила исправления микропрограммы, которые были частью обновления безопасности Google для Android от апреля 2019 года.

Qualcomm исправляет главный недостаток безопасности чипа

Если вы используете устройство Android с чипом Qualcomm для чувствительных предприятий, настоятельно рекомендуем обновить на вашем смартфоне самое последнее исправление безопасности для ОС Android.

Читайте так же
Чипсет Qualcomm QCA6390 для подключения с WiFi 6, ... Компания Qualcomm Technologies анонсировала SoC Qualcomm QCA6390 для подключения на MWC 2019. Она нацелена на обеспечение превосходной производительности Wi-Fi и Bluetooth для мобильных и вычислительных устройств. Это также первая в мире 14-нм интегр...
Недостаток опыта останавливает цифровую трансформа... Но, согласно исследованиям, местные ИТ-директора продолжают вести проекты вокруг таких областей, как технологии, основанные на данных, и дополненной реальности. Анжелика Мари для Бразилии Tech | 7 августа 2019.- 22:54 GMT (15:54 PDT) | Тема: Цифрова...
Главный генерал США встретится с Google по вопроса... Высокопоставленный военный офицер США встретится с представителями Google на следующей неделе на фоне растущей обеспокоенности тем, что американские компании, ведущие бизнес в Китае, помогают его военным силам в США. Генерал Джозеф Данфорд, председа...