Qualcomm protsessorlaridagi zaiflik xavfsiz ijro muhitidan ma’lumotlarni fosh qilmoqda.
Muammo 30 dan ortiq turli xil Qualcomm protsessorlariga ta’sir qiladi.
NCC Group tadqiqotchilarining fikriga ko’ra, Qualcomm protsessorlaridagi zaiflik tajovuzkorga shifrlash kalitlari va boshqa maxfiy ma’lumotlarni ishonchli ijro muhitidan (TEE) ajratib olish imkonini beradi. Ishonchli ijro muhitlari (TEE) – bu protsessorning kodni bajarish va ma’lumotlarni eng yuqori darajadagi xavfsizlik bilan saqlash uchun himoyalangan joylari. Tadqiqotchilar ilgari TEE xavfsizligini sinovdan o’tkazgan, ammo ancha cheklangan miqyosda.
NCC Group mutaxassislari ECDSA imzo implementatsiyasini Qualcomm Secure Execution Environment (QSEE) ning ma’lum bir versiyasida sinab ko’rishga qaror qilishdi va natijada CVE-2018-11976 yagona identifikatori ostida guruhlangan bir qator xavfli zaifliklarni aniqladilar.
Cachgrab vositasidan foydalangan holda, tadqiqotchilar bir vaqtning o’zida bir nechta kesh hujumlarini amalga oshirishga, kriptografik ma’lumotlarni muvaffaqiyatli ajratib olishga va Qualcomm apparat kalitlari do’konidan 256 bitli maxfiy shifrlash kalitini to’liq tiklashga muvaffaq bo’lishdi.
Tadqiqotchilar Android operatsion tizimida ishlaydigan Nexus 5X qurilmasida tadqiqot o’tkazdilar, ammo Qualcomm zaiflik 30 dan ortiq turli protsessorlarga ta’sir qilishini tasdiqladi (to’liq ro’yxatni bu yerdan topishingiz mumkin). Bu shuni anglatadiki, muammo turli xil smartfon va planshetlarga ta’sir qiladi va deyarli har bir Android qurilmasi egasi zaiflikka duch kelish ehtimoliga ega.
Tadqiqotchilar o’tgan yilning mart oyida Qualcomm’ga zaiflik haqida xabar berishgan va shundan beri kompaniya barcha ta’sirlangan protsessorlar uchun dasturiy ta’minot yangilanishlarini chiqardi va elektronika ishlab chiqaruvchilariga xabar berdi. Google shu oyda aprel oyidagi Android yangilanishlarini chiqarish bilan o’z qurilmalaridagi zaiflikni tuzatdi.
Yaxshi xabar shundaki, CVE-2018-11976 dan foydalanish uchun tajovuzkor avval qurilmada root huquqini olishi kerak. Yomon xabar shundaki, bunga mavjud va keng qo’llaniladigan zararli dasturlar yordamida erishish mumkin.
