Уразливість в процесорах Qualcomm дозволяє зловмисникам отримати з безпечного середовища виконання ключі шифрування і інші важливі дані, повідомляють дослідники компанії NCC Group.
Безпечне середовище виконання (Trusted Execution Environments, TEE) – це захищена частина центрального процесора для виконання коду і зберігання даних з найвищим рівнем безпеки. Раніше дослідники вже тестували безпеку TEE, але досить в скромних масштабах.
Фахівці NCC Group вирішили протестувати реалізацію підписи ECDSA в певній версії Qualcomm Secure Execution Environment (QSEE) і в підсумку виявили цілу серію небезпечних уразливостей, об’єднаних під одним ідентифікатором CVE-2018-11976.
За допомогою інструменту Cachgrab дослідники змогли здійснити одночасно кілька атак на кеш пам’яті, успішно витягти криптографічні дані і повністю відновити 256-бітний закритий ключ шифрування з апаратного сховища ключів Qualcomm.
Своє дослідження фахівці проводили на Nexus 5X під управлінням Android, проте в Qualcomm підтвердили, що уразливість зачіпає більше 30 різних процесорів (повний перелік). Тобто, проблема зачіпає широкий спектр смартфонів і планшетів, і практично у кожного власника Android-пристрою є шанс, що його гаджет уразливий.
Дослідники повідомили Qualcomm про уразливість в березні минулого року, і з тих пір компанія випустила оновлення прошивки для процесорів і повідомила виробників електроніки. Google виправила уразливість в своїх пристроях в поточному місяці з виходом квітневих оновлень для Android.
Гарна новина полягає в тому, що для експлуатації CVE-2018-11976 атакуючий спочатку повинен отримати на пристрої права суперкористувача. Погана новина – це можна зробити за допомогою вже існуючого і досить поширеного шкідливого ПЗ.
Нагадаємо, що компанія ESET розпочала співпрацю з Chronicle, дочірньою компанією холдингу Alphabet. Основною метою даного партнерства є надання необхідної перевірки інцидентів безпеки та попередження про загрози.
До речі, аналітична компанія OTR Global розповіла, що в першому кварталі 2019 року Huawei обігнала Apple за кількістю проданих смартфонів.
Також команда вчених в Університеті Каліфорнії в Сан-Франциско створили пристрій, який імплантується в мозок і здатний читати людські думки. Потім він перетворює їх у звук.
Окрім цього, з 1 травня в Україні запускають послугу MNP, яка дозволить змінити оператора мобільного зв’язку, але залишити старий номер телефону. Що таке MNP та як нею користуватися, читайте тут.