Un nuevo informe de ZDNet ha revelado un fallo de seguridad en los chips de Qualcomm que puede permitir a los hackers obtener datos privados y claves de cifrado almacenados en una región específica del hardware llamada Entorno de Ejecución Segura de Qualcomm (QSEE). Los chips vulnerables al error son principalmente utilizados por smartphones y tabletas.
La publicación revela que Qualcomm lanzó el parche de seguridad CVE-2018-11976 a principios de este mes para resolver el error. Sin embargo, dado el pésimo estado de las actualizaciones de seguridad de Android, seguramente muchos móviles y tabletas quedarán vulnerables a estos ataques en los próximos años.
El QSEE es una zona aislada de los chips de Qualcomm a la cual los desarrolladores y el sistema operativo Android envían datos para su procesamiento en un entorno seguro. Esto quiere decir que ninguna app tiene potestad para acceder a estos datos confidenciales, a excepción de la app que puso los datos allí inicialmente. Entre los datos que se incluyen en el QSEE destacan contraseñas y claves de cifrado privadas.
El fallo fue descubierto inicialmente por el investigador de seguridad del Grupo NCC, Keegan Ryan, quien reveló en marzo de 2018 que la implementación del algoritmo criptográfico ECDSA de Qualcomm permitía recuperar los datos de la QSEE en los chips de la compañía. Esta semana, Ryan publicó un informe donde explicó la manera en que descubrió el fallo.
Para realizar el ataque, los hackers tendrían que tener privilegios de root en los dispositivos, sin embargo, esto no representa un obstáculo imposible de superar dado que el malware actual para Android tiene la capacidad de obtener acceso de root a los dispositivos.
Ryan logró probar con éxito un ataque para aprovechar la vulnerabilidad en el chip de un Nexus 5X, del cual obtuvo una clave de cifrado P-526 del área QSEE con respaldo. El investigador afirmó que el inconveniente fue notificado a Qualcomm el año pasado, y que la compañía lanzó un parche de firmware como parte de la actualización de Android de abril de 2019.