Qualcomm è una delle più grandi aziende hi-tech al mondo e i suoi processori sono implementati in quasi la metà degli smartphone presenti in commercio. In queste ore i ricercatori del Check Point Research hanno pubblicato uno studio durato più di 4 mesi che li ha portati a scoprire un bug critico di sicurezza che ha una ricaduta molto importante sugli utenti e sulle aziende che sfruttano i SoC Qualcomm.

qualcomm trustzone bug sicurezza pagamenti check point research

Tutti i chip realizzati dall’azienda americana presentano un’area etichettata come TrustZone, ovvero un ambiente virtuale sicuro che viene utilizzato da applicazioni e dal sistema operativo (Android) per fornire riservatezza e integrità al codice e alle operazioni che vengono eseguite. Attualmente esistono tre diverse implementazioni commerciali del Trusted Execution Environment (TEE) su dispositivi che montano processori Qualcomm:

  • Qualcomm Secure Execution Environment (QSEE) utilizzato da LG, Google Pixel, Xiaomi, Sony, HTC, OnePlus, Samsung e molti altri;
  • Trustronic Kinibi, utilizzato su dispositivi Samsung commercializzati in Europa e Asia;
  • HiSilicon Trusted Core, utilizzato sui dispositivi Huawei.

Tutte queste diverse implementazioni della TrustZone di Qualcomm sono proprietà di Qualcomm e il codice utilizzato è closed source, ovvero non disponibile pubblicamente. I ricercatori si sono focalizzati su quest’area in quanto una eventuale falla di sicurezza avrebbe conseguenze molto gravi. Tutto il codice e le applicazioni eseguito all’interno della TEE dispone di privilegi di esecuzione di altissimo livello.

qualcomm trustzone bug sicurezza pagamenti check point research

I ricercatori di Check Point Research, tramite un lungo processo di reverse engineering, sono riusciti ad utilizzare la tecnica del fuzzing per scoprire una falla di sicurezza nel TEE di Qualcomm. La tecnica prevede di inviare al sistema di test una grandissima quantità di dati causali per causarne il crash e permettere l’individuazione di falle di sicurezza.

Il bug di sicurezza della TrustZone di Qualcomm coinvolge anche i pagamenti, visto che le informazioni relative alle carte di credito/debito vengono immagazzinate in questo speciale ambiente. I ricercatori hanno già informato Qualcomm della falla di sicurezza – CVE-2019-10574 – che ne ha già corretto le vulnerabilità.