Ένα θέμα ευπάθειας, στην υλοποίηση του Qualcomm ’s Secure Execution Environment(QSEE) στο Trusted Execution Environment (TEE), που χρησιμοποιείται σε μια σειρά συσκευών smartphones και tablets ειδικότερα σε Android, επέτρεψε σε hackers να κλέψουν ευαίσθητα δεδομένα από την ασφαλή περιοχή του επεξεργαστή.
Η υλοποιήση Qualcomm χρησιμοποιείται σε συσκευές όπως Pixel, LG, Xiaomi, Sony, HTC, OnePlus, Samsung.
Σύμφωνα με τους ερευνητές, οι ευπάθειες στα components του Qualcomm θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να:
- εκτελέσει αξιόπιστες εφαρμογές στο Normal World (Android OS)
- φορτώσει την ενημερωμένη εφαρμογή στο Secure World (QSEE)
- παρακάμψει το Qualcomm’s Chain Of Trust,
- προσαρμόσει την αξιόπιστη εφαρμογή για να εκτελείται σε συσκευή άλλου κατασκευαστή
Με λίγα λόγια, μια ευπάθεια στο TEE αφήνει τις συσκευές ευάλωτες σε ένα ευρύ φάσμα απειλών ασφάλειας, συμπεριλαμβανομένης της διαρροής προστατευμένων δεδομένων, του rooting των συσκευών, του ξεκλειδώματος του bootloader και της εκτέλεσης μη ανιχνεύσιμων APT.
Οι ευπάθειες επηρεάζουν επίσης ένα ευρύ φάσμα συσκευών smartphone και IoT που χρησιμοποιούν το στοιχείο QSEE για την εξασφάλιση ευαίσθητων πληροφοριών των χρηστών.
Η Check Point Research αποκάλυψε υπεύθυνα τα ευρήματά της σε όλους τους προμηθευτές, από τους οποίους η Samsung, η Qualcomm και η LG έχουν ήδη δημοσιεύσει μια ενημερωμένη έκδοση κώδικα για αυτές τις ευπάθειες του QSEE.
