Qualcomm-lek legt gegevens van mobiele betalingen bloot

| Check Point | 3 min | 14 november 2019 20:35
Gewaardeerd
  • Gegevens van creditcards e bankpassen, alsook persoonlijke data, kunnen door hackers worden misbruikt
  • Wereldwijd vertrouwt bijna de helft van de mobiele telefoons op Qualcomm
Tot nu toe ging iedereen ervan uit dat Qualcomm’s ‘Secure World’ onaantastbaar is. De gegevens van onze creditcards en bankpassen worden dan ook, samen met andere persoonlijke en gevoelige informatie, via Qualcomm rechtstreeks op onze telefoons opgeslagen. Check Point heeft tijdens een vier maanden durend onderzoek vastgesteld dat het systeem – door experts geroemd als het veiligste onderdeel van onze telefoons – toch niet bestand is tegen hackers. Uit het onderzoek blijkt dat er een gapend gat bestaat, waarlangs cybercriminelen informatie over onze mobiele betalingen zouden kunnen stelen.

Wereldwijd vertrouwt bijna helft mobiele telefoons op Qualcomm

Het is bekend dat pure softwareoplossingen beveiligingsbeperkingen hebben. Veilige opslagsystemen die gebaseerd zijn op pure softwaremechanismen, missen belangrijke hardwarematige beveiligingsfuncties en maken gegevens daardoor kwetsbaar voor allerlei bedreigingen. Android-software heeft op zichzelf dezelfde beveiligingsbeperkingen, die Qualcomm via hardware-gebaseerde functies aanpakt. Hiervoor moet de runtime van Android beschermd worden tegen zowel aanvallers als gebruikers. Dit wordt doorgaans mogelijk door de beveiligde opslagsoftware naar een door hardware ondersteunde Trusted Execution Environment (TEE) te verplaatsen.

Mobiele besturingssystemen, zoals Android, hebben een Rich Execution Environment (REE), met een heel uitgebreide en veelzijdige runtime-omgeving. REE biedt flexibiliteit en mogelijkheden, maar maakt apparaten ook kwetsbaar voor een breed scala aan beveiligingsrisico’s. De TEE is ontworpen om naast de REE te bestaan en vormt op het apparaat een veilig gebied voor de bescherming van assets en voor het uitvoeren van vertrouwde code.

De TEE in het systeem van Qualcomm steunt op ARM TrustZone-technologie. TrustZone is een verzameling beveiligingsuitbreidingen op ARM-architectuurprocessors, die een veilige processor met hardware-gebaseerde toegangscontrole biedt. Deze beveiligde virtuele processor wordt vaak de ‘veilige wereld’ genoemd, in vergelijking met de ‘niet-veilige wereld’, waarin een REE zich bevindt. In 2018 bleek dat Qualcomm de processormarkt met een omzetaandeel van 45% domineert.

Check Point opende het ‘gat’ via ‘fuzzing’

Tijdens het vier maanden durende onderzoeksproject hebben onderzoekers van Check Point met succes geprobeerd om Qualcomm’s ‘Secure World’-besturingssysteem ongedaan te maken. Ze gebruikten de ‘fuzzing’-techniek om het lek bloot te leggen. Fuzz-testen (fuzzing) zijn een methode voor kwaliteitsborging en dienen om coderingsfouten en beveiligingslekken in software, besturingssystemen of netwerken te ontdekken. Hierbij worden enorme hoeveelheden willekeurige gegevens, de zogenaamde fuzz, in een testsysteem ingevoerd in een poging het te doen crashen.

Check Point heeft een op maat gemaakte fuzzing-tool geïmplementeerd om vertrouwde code te testen op apparaten van Samsung, LG en Motorola. Met behulp van ‘fuzzing’ vond Check Point vier kwetsbaarheden in vertrouwde code die is geïmplementeerd door Samsung (inclusief de S10), één bij Motorola, één bij LG, één gerelateerd aan LG, maar allemaal van Qualcomm zelf afkomstig.

Resultaten gedeeld met alle partijen

Check Point Research heeft zijn bevindingen gedeeld met de betrokken partijen. Samsung heeft drie kwetsbaarheden hersteld, LG heeft voor eentje een patch gestuurd. Motorola heeft gereageerd, maar moet nog altijd patchen. Qualcomm heeft de kwetsbaarheid inmiddels ook gepatcht.

Wat gebruikers moeten doen

Check Point Research adviseert gebruikers van deze mobiele telefoons om waakzaam te blijven en hun creditcards en bankpassen te controleren op ongebruikelijke activiteiten. In de tussentijd werkt Check Point samen met de betrokken leveranciers aan het uitsturen van patches.

Hoe vind je dit artikel?


Waardering: Goed (2 ratings).

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Check Point

Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029224512.jpg
Het no-nonsense internetbureau
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.