Nagy a gond: a legkényesebb adatok szerezhetők meg az androidos telefonokból

A CheckPoint biztonsági cég kutatói figyeltek fel egy súlyos sebezhetőségre a Qualcomm lapkakészleteiben. Ez már csak azért is nagy probléma, mert ilyen lapkakészleteket használ sok-sok (tíz)millió androidos okostelefon és tablet.

A leleplezett hibák lehetővé teszik, hogy a támadó olyan érzékeny adatokat lopjanak, illetve éljenek vissza ezekkel, amelyek amúgy a telefon legbiztonságosabb helyén tárolódnak. A sebezhetőség a Qualcomm úgynevezett biztonságos végrehajtási környezetében (QSEE) található. Ez a rész egy elválasztott terület a főprocesszoron, és a feladata az érzékeny információk védelme. Úgy is mondhatjuk, hogy biztonságos környezetet kínál az érzékeny alkalmazások számára. A QSEE a különféle személyes információk mellett jelszavakat, hitelkártya és bankkártya-hitelesítő adatokat is tárol. Ez a terület a legkevesebb kiváltság elvét tartja szem előtt, azaz nehéz hozzáférni az illesztőprogramoknak és alkalmazásoknak. Csak akkor tehetik ezt, ha erre feltétlenül szükség van.

A négy hónapos kutatómunkával feltárt sebezhetőség lehetővé teszi a támadók számára, hogy megkerüljék ezt a védelmet, és az amúgy védett alkalmazásokat a sima androidos rendszer alatt is futtathassák, akár egy másik gyártó eszközén. Sajnos a sebezhetőség az okostelefonok, tabletek és IoT eszközök széles skáláját érintik, amelyek a QSEE összetevőt használják az érzékeny információk védelmére. A CheckPoint Research nyilvánosságra hozta a megállapításait az összes érintett gyártó felé. A Samsung, a Qualcomm és az LG már kis is adta a javítócsomagot.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.