Problem z czipami Qualcomma, czyli luka w Androidzie załatana… tylko teoretycznie

News/Bezpieczeństwo 06.07.2016
Problem z czipami Qualcomma, czyli luka w Androidzie załatana… tylko teoretycznie

Problem z czipami Qualcomma, czyli luka w Androidzie załatana… tylko teoretycznie

Urządzenia elektroniczne są podatne na ataki, a cyberprzestępcy upodobali sobie smartfony i tablety z Androidem ze względu na popularność systemu Google’a. Teraz została upubliczniona nowa luka w Androidzie, która obecna jest w sprzętach korzystających z czipów Qualcomma.

Użytkownicy sprzętów z Androidem, w których wykorzystano procesory marki Qualcomm, są narażeni na niebezpieczną lukę. Jak donosi Computerworld atak wyciągający zaszyfrowane klucze został zaprezentowany przez badacza bezpieczeństwa nazwiskiem Gal Beniamini.

Na atak podatne są urządzenia z czipami Qualcomma, który jest liderem rynku procesorów ARM do sprzętów mobilnych.

Po uzyskaniu dostępu do zaszyfrowanego klucza zabezpieczenia można złamać atakiem typu brute-force. Pozwala to złamać zabezpieczenia z pominięciem programowych mechanizmów wymuszających np. odstępy czasu między kolejnymi próbami podania odpowiedniego hasła.

W celu przeprowadzenia ataku wykorzystane zostały dwie podatności pozwalające na zdobycie dostępu do klucza. Badacz Gal Beniamini zauważył, że chociaż można było to zrobić w Androidzie, to podobny atak nie jest możliwy w przypadku urządzeń z iOS.

Luka w Androidzie została załatana… tylko teoretycznie.

Nie zagłębiając się w techniczne szczegóły problem sprowadza się do tego, że zaszyfrowane w pamięci urządzenia dane są tak bezpieczne, jak hasło użyte przez użytkownika. Skomplikowane hasła będą co prawda dla atakujących sporym problemem, ale metody typu brute-force z 4-cyfrowym PIN-em lub krótkim hasłem poradzą sobie w moment.

Podatności wykorzystane do przeprowadzenia tego ataku zostały już załatane – jedna w styczniu, druga w maju – ale dla posiadaczy starszych smartfonów i tabletów z Androidem to marna pociecha. Jeśli producent nie zadbał o przygotowanie aktualizacji, to nadal są podatni na ten atak – i tacy zapewne pozostaną, póki nie zmienią telefonu na nowszy.

Można bronić Google’a, który nie wymaga od firm korzystających z Androida terminowych aktualizacji i przekonywać, że użytkownicy i tak nie są zainteresowani nową wersją oprogramowania. Takie odkrycia pokazują jednak, że fragmentacja Androida to poważny problem, bo na łatkę mogą liczyć tylko nieliczni.

Dołącz do dyskusji

Advertisement