Qualcomm Çiplerdeki Hatalar Gizli saklı Verileri Sızdırdı

Araştırmacılar, Qualcomm yonga setlerinde siber saldırganların tehlikeli sonuç detayları çalmasına niçin olabilecek güvenlik açıkları bulunduğunu deklare etti. Meydana getirilen açıklamada, bir çok Android telefona güç veren Qualcomm işlemcilerde bulunan açığın; korunan verilerin sızmasına, cihazın rootlanmasına, önyükleyici kilidinin açılmasına ve tespit edilemeyen APT (Gelişmiş Kalıcı Tehditler) saldırılarının uygulanmasına niçin olabileceği açıklandı.

Bulgular, haziran ayının başlarında meydana gelen REcon Montreal fuarında güvenlik şirketi Check Point tarafınca ortaya kondu. Qualcomm, şirket tarafınca açıkça ifşa edildikten sonrasında tüm kusurlar için düzeltmeler yapmış oldu. Samsung ve LG de güvenlik yamalarını cihazlarına uygularken, Motorola düzeltme üstünde çalıştığını deklare etti.

Qualcomm’un çipleri, işlemcinin içinde kod ve verilerin gizliliğini ve bütünlüğünü elde eden Güvenilir Uygulama Ortamı (TEE) olarak adlandırılan güvenli bir alana haiz. Qualcomm Güvenilir Uygulama Ortamı (QTEE) olarak adlandırılan ve ARM TrustZone teknolojisine dayanan bu donanım yalıtımı, verilerin en kırılgan şekilde depolanmasını sağlıyor.

Check Point araştırmacıları, güvenilir ortama beklenmedik, sıralı veriler göndererek sistemin iç yapısındaki hataları bulmayı elde eden Fuzzing yöntemini kullandı. Yöntemle Samsung, Motorola ve LG’nin güvenlik uygulamaları hedef alınarak açıkların ortaya çıkarılması hedeflendi.

Araştırmacılar, güvenlik açıklarının bir saldırganın güvenilir uygulamaları güvenli olmayan ortamda çalıştırmasına, güvenli dünyaya yamalanmış güvenli olmayan uygulamalar yüklemesine ve hatta başka bir cihazla güvenli ortama erişmesine izin verebileceğini söylemiş oldu. TEE’ler hackerlara yeni bir hücum cephesi sunsa da, güvenlik açıklarının kullanıldığına dair hemen hemen bir kanıt yok.