Check Point identifica falha que expõe credenciais de pagamento móvel

0

Os pesquisadores da Check Point Software Technologies conseguiram explorar falhas no "Secure World" da Qualcomm, o compartimento mais seguro em telefones celulares. Até agora, o "Secure World" da Qualcomm era considerado impenetrável. Consequentemente, as informações de cartão de crédito e débito, bem como outras informações pessoais sensíveis, salvas nos celulares, estão armazenadas diretamente nesse ambiente.
 
Por meio de pesquisa e análises feitas durante quatro meses, a equipe do Check Point Research (CPR) levantou questionamentos sobre o "Secure World"  da Qualcomm, assim apelidado por especialistas do setor como o componente mais seguro dos telefones celulares, se seria à prova de violação por hackers ou cibercriminosos. A pesquisa da Check Point revelou que existe uma brecha que permite aos cibercriminosos acessarem nossas informações de pagamento móvel.
 
É conhecido que soluções de software puro têm limitações de segurança. Os sistemas de armazenamento seguro baseados em mecanismos puros de software não possuem recursos importantes de proteção de hardware e, portanto, expõem os dados a uma gama mais ampla de ameaças.

O software Android, por si só, possui as mesmas limitações de segurança abordadas pela Qualcomm por meio de recursos baseados em hardware. Para resolver a limitação, a execução  de código do Android precisa ser protegida de atacantes e do próprio usuário. Isso geralmente é alcançado movendo o storage seguro baseado em software para um hardware com suporte a Trusted Execution Environment (TEE), ou em português um ambiente confiável de execução.
 
Os sistemas operacionais móveis, como o Android, oferecem um Rich Execution Environment (REE), ou em português um rico ambiente de execução, fornecendo ambiente de execução de código extenso e versátil. Ao trazer flexibilidade e capacidade, o REE deixa os dispositivos vulneráveis a uma ampla gama de ameaças à segurança. O TEE foi projetado para residir ao lado do REE e fornecer uma área segura no dispositivo para proteger ativos e executar código confiável.
 
O TEE na tecnologia Qualcomm é baseado na tecnologia ARM TrustZone. O TrustZone é um conjunto de extensões de segurança em uma arquitetura de processadores ARM que fornecem um processador virtual seguro, isolado, suportado por controle de acesso baseado em hardware. Esse processador costuma ser chamado de "Secure World", em comparação com o "non-secure world ", onde o REE reside.
 
Hoje, o ARM TrustZone é parte integrante de todos os dispositivos móveis modernos. Como visto nos telefones Nexus / Pixel baseados no Android, os componentes TrustZone são integrados no bootloader, rádio, nas imagens de sistema e fornecedores de dispositivos Android. Em 2018, de acordo com um estudo da Strategy Analytics, a Qualcomm liderou o mercado de processadores com 45% de participação na receita, ou seja, praticamente metade de todos os smartphones do mundo usa sua tecnologia de processador.

No período de quatro meses, os pesquisadores da Check Point tentaram e conseguiram fazer a análise reversa do sistema operacional "Secure World" da Qualcomm. Os pesquisadores utilizaram a técnica de "fuzzing" para expor a falha. O teste de fuzz (ou fuzzing) é uma técnica de quality assurance (controle de qualidade) usada para descobrir erros de codificação e brechas de segurança em software, sistemas operacionais ou redes. Isso envolve a introdução de grande quantidade de dados aleatórios no sistema, chamados de "fuzz", na tentativa de fazê-lo falhar.

A Check Point implementou uma ferramenta de "fuzzing" específica, com a qual testou em dispositivos Samsung, LG e Motorola. Por meio de "fuzzing", a empresa encontrou quatro vulnerabilidades em códigos confiáveis implementados pela Samsung (incluindo o S10), um na Motorola e uma relacionada à LG, mas todos os códigos originados pela própria Qualcomm.

Isso evidencia a necessidade da pesquisa de segurança e de vulnerabilidades e mostra que mesmo ambientes desenhados pelos melhores desenvolvedores podem conter falhas, as quais precisam ser endereçadas antes que haja impacto para os usuários.

A Samsung corrigiu três vulnerabilidades; a LG corrigiu uma; a Motorola respondeu à equipe de pesquisadores que tem patches, mas ainda precisa corrigir; e a Qualcomm corrigiu a vulnerabilidade.

De acordo com a Check Point é "importante observar que, em 13 de novembro, um dia antes da divulgação do blog sobre a pesquisa, a Qualcomm considerou as descobertas dos nossos pesquisadores e corrigiu a vulnerabilidade (CVE-2019-10574)".

O que os usuários de celulares devem fazer

O smartphone se tornou um companheiro essencial, tanto no âmbito pessoal quanto para uso em ambientes corporativos, e a grande quantidade de informações armazenadas os tornou o principal alvo dos cibercriminosos.
 
Por esse motivo, a equipe do Check Point Research alerta para o fato de que os smartphones são um dos dispositivos mais desprotegidos e destacam a importância de se conscientizar da necessidade de adotar uma estratégia de segurança a fim de garantir a proteção dos dados armazenados.
 
Nesse sentido, a Qualcomm já publicou um patch para solucionar esta vulnerabilidade, portanto, os especialistas da empresa aconselham aos usuários dos dispositivos e terminais que incorporam o Qualcomm TrustZone a atualizar o sistema operacional mais recente, além de estarem atentos a qualquer atividade incomum realizada usando seus cartões de crédito ou débito.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.