دستگاههای اندرویدی در معرض خطر باگ بحرانی چیپستهای Qualcomm قرار دارند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دستگاههایی که از چیپستهای Qualcomm استفاده میکنند، بهویژه گوشیهای هوشمند و تبلتها، نسبت به یک باگ امنیتی جدید آسیبپذیر هستند. این باگ به مهاجمان اجازه میدهد دادههای خصوصی و کلیدهای رمزگشایی که در یک فضای امن چیپست را با نام Qualcomm Secure Execution Environment یا (QSEE) بهدست آورند.
شرکت Qualcomm برای این باگ که با شناسه CVE-۲۰۱۸-۱۱۹۷۶ ردیابی میشود، چندین وصله منتشر کردهاست. با این حال، با توجه به وضعیت بهروزرسانیهای سیستمعامل اندروید در دستگاههای مختلف، بسیاری از گوشیهای هوشمند و تبلتها آسیبپذیر خواهند بود.
این آسیبپذیری نحوه مدیریت دادههای پردازش شده داخل QSEE توسط چیپهای Qualcomm (که در میلیونها دستگاه اندرویدی استفاده میشود) را تحت تاثیر قرار میدهد. مشابه SGX اینتل، QSEE نیز یک محیط اجرا قابل اطمینان (TEE) است. QSEE یک فضای ایزوله سختافزاری روی چیپهای Qualcomm است که سیستمعامل اندروید و توسعهدهندگان برنامهها میتوانند دادهها را برای پردازش در یک محیط امن به آن ارسال کنند. هیچ برنامه دیگری و سیستمعامل اندروید نمیتوانند به این دادههای حساس دسترسی یابند و تنها برنامهای که دادهها را در QSEE قرار داده میتواند به آنها دسترسی داشته باشد. این دادهها معمولا کلیدهای رمزگذاری خصوصی و گذرواژهها هستند.
برای بهرهبرداری از آسیبپذیری CVE-۲۰۱۸-۱۱۹۷۶، مهاجم باید دسترسی root در دستگاه هدف داشته باشد که این دسترسی در بسیاری از بدافزارهای امروزی معمول است. پژوهشگری که این آسیبپذیری را کشف کرده بیان کردهاست که QSEE برای جلوگیری از ایجاد شرایطی که مهاجم کنترل کامل دستگاه را به دست گیرد، طراحی شده است، اما با کشف این آسیبپذیری قابلیت اصلی QSEE که برای آن طراحی شده بود با شکست مواجه میشود.
آسیبپذیری دارای قابلیت تاثیرگذاری بر امنیت تمامی دستگاههای اینترنت اشیا و اندرویدی است که از یک مولفه QSEE برای امنسازی اطلاعات حساس استفاده میکنند. Qualcomm در سال گذشته نسبت به وجود این نقص آگاه شده و وصلههای مربوطه را در ماه میلادی جاری منتشر کردهاست که در بهروزرسانیهای امنیتی ماه آوریل ۲۰۱۹ اندروید اعمال شدهاند. طبق اعلام Qualcomm، چیپستهای زیر تحت تاثیر قرار گرفتهاند:
IPQ۸۰۷۴, MDM۹۱۵۰, MDM۹۲۰۶, MDM۹۶۰۷, MDM۹۶۵۰, MDM۹۶۵۵, MSM۸۹۰۹W, MSM۸۹۹۶AU, QCA۸۰۸۱, QCS۶۰۵, Qualcomm ۲۱۵, SD ۲۱۰/SD ۲۱۲/SD ۲۰۵, SD ۴۱۰/۱۲, SD ۴۲۵, SD ۴۲۷, SD ۴۳۰, SD ۴۳۵, SD ۴۳۹ / SD ۴۲۹, SD ۴۵۰, SD ۶۱۵/۱۶/SD ۴۱۵, SD ۶۲۵, SD ۶۳۲, SD ۶۳۶, SD ۶۵۰/۵۲, SD ۷۱۲ / SD ۷۱۰ / SD ۶۷۰, SD ۸۲۰, SD ۸۲۰A, SD ۸۳۵, SD ۸۴۵ / SD ۸۵۰, SD ۸CX, SDA۶۶۰, SDM۴۳۹, SDM۶۳۰, SDM۶۶۰, Snapdragon_High_Med_۲۰۱۶, SXR۱۱۳۰
استفادهکنندگان دستگاههای اندرویدی که از این مدلهای پردازنده Qualcomm استفاده میکنند و از دستگاه خود برای عملیاتهای حساس بهره میبرند باید نسبت به بهروزرسانی آخرین وصلههای امنیتی سیستمعامل اندروید اقدام کنند.