Lỗ hổng trên chip Qualcomm cho phép Hacker đánh cắp dữ liệu cá nhân từ thiết bị Android

Hàng trăm triệu thiết bị, đặc biệt là điện thoại và máy tính bảng Android đang sử dụng con chip Qualcomm đang dễ bị tổn thương bởi một số lỗ hổng bảo mật nghiêm trọng.

Theo báo cáo từ chuyên gia nghiên cứu bảo mật chia sẻ với The Hacker News, những lỗ hổng bảo mật này có thể cho phép kẻ tấn công đánh cắp những thông tin nhạy cảm được lưu trong vùng bảo mật được cho là được bảo vệ an toàn nhất trên thiết bị di động.

Những lỗ hổng bảo mật này nằm trong Qualcomm's Secure Execution Environment (QSEE), một môi trường an toàn triển khai của một môi trường thực thi tin cậy Trusted Execution Environment (TEE) dựa trên công nghệ ARM TrustZone.

Được biết với cái tên Qualcomm's Secure World, QSEE là một vùng bảo mật trong phần cứng bộ xử lý chính nhằm bảo vệ cho những thông tin nhạy cảm và cung cấp một vùng an toàn (REE) để thực thi các ứng dụng đáng tin cậy. Bên cạnh những thông tin cá nhân, QSEE còn được chứa các mã khóa cá nhân, mật khẩu, thông tin thẻ tín dụng, ghi nợ…

Vì dựa trên nguyên tắc đặc quyền tối cao, các module trong hệ thống môi trường bình thường như drivers và ứng dụng sẽ không thể truy cập vào vùng bảo vệ trừ khi cần thiết – bất kể chúng có được root đi chăng nữa.

Trong 4 tháng nghiên cứu của nhóm, họ đã thử khai thác lỗ hổng trên vùng Qualcomm’s Securre World và thành công. Họ triển khai công cụ tấn công tùy chỉnh, thử nghiệm các mã đáng tin cậy trên các thiết bị Samsung, LG, Motorola… từ đó tìm thấy 4 lỗ hổng trong mã đáng tin cậy do Samsung thực hiện , một ở Motorola và một ở LG.

Theo chuyên gia nghiên cứu bảo mật, những lỗ hổng bảo mật này có thể cho phép hacker : thực thi các ứng dụng đáng tin cậy trên môi trường thường Normal World (hệ điều hành Android), mở các ứng dụng đáng tin đã patched trong vùng an toàn QSEE, qua mặt Qualcomm’s Chain Of Trust, tương thích các ứng dụng đã tin cậy khởi chạy trên một thiết bị của nhà sản xuất khác và hơn thế nữa.

Lỗ hổng bảo mật ảnh hưởng một phạm vi rộng các dòng thiết bị điện thoại thông minh, IoT đang sử dụng lõi QSEE để bảo mật các thông tin nhạy cảm của người dung.

Được biết các nhà sản xuất thiết bị đã xuất bản các bản vá lỗi.

Minh Hương