ตามที่นักวิเคราะห์ความปลอดภัย one แฮ็กเกอร์ สามารถหลอกให้แอปพลิเคชันเข้าถึงบัญชีของเหยื่อได้โดยการขโมยคีย์ที่เข้ารหัสในหน่วยความจำของอุปกรณ์
Έพบช่องว่างด้านความปลอดภัยในชิปหลายสิบตัว วอลคอมม์ ซึ่งอนุญาตให้มัลแวร์เข้าถึงบัญชีผู้ใช้ ปัญหาเกิดจากฟังก์ชั่นชื่อ สภาพแวดล้อมการดำเนินการที่ปลอดภัยของ Qualcomm (QSEE)ซึ่งเก็บคีย์เข้ารหัสไว้ในหน่วยความจำของอุปกรณ์แต่ไม่ขึ้นกับโปรเซสเซอร์หลัก
ตาม วอลคอมม์ฟังก์ชันนี้ไม่สามารถเข้าถึงได้แม้ในขณะที่ระบบปฏิบัติการถูกเปิดเผย เธ คีแกน ไรอันนักวิเคราะห์ด้านความปลอดภัย กลุ่ม ป.ป.ช., หักล้างคำสั่งที่ระบุว่าเป็นไปได้ที่จะเข้าถึงส่วนที่แยกจากความทรงจำของเขา ถาม.
ฉันใช้ตัวทำนายสาขากำลังสูงและแชนเนลด้านหน่วยความจำเพื่อแยกคีย์ส่วนตัวจากที่เก็บคีย์ TrustZone ของ Qualcomm ลองดูสิ: https://t.co/PKzsNcQE7S
- คีแกนไรอัน (@ inf_0_) April 23, 2019
เมื่อวันอังคารที่แล้ว เขาโพสต์ข้อความหนึ่ง บทความ สำหรับช่องว่างด้านความปลอดภัยพร้อมกับรายละเอียดทั้งหมดเกี่ยวกับวิธีการเข้าถึงและวิเคราะห์แคชจาก Nexus 5X แม้กระทั่งการแตกคีย์ 256 บิตหลังจากกระบวนการ 14 ชั่วโมง
ตาม ไรอันแฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยนี้โดยหลอกให้แอปพลิเคชันเชื่อมต่อผ่านอุปกรณ์ เมื่อเราใส่รหัสผ่านลงในแอปพลิเคชันแล้ว คีย์ที่เข้ารหัสจะถูกสร้างขึ้นซึ่งช่วยให้แอปพลิเคชันสามารถเก็บข้อมูลไว้ใช้ในอนาคตบนอุปกรณ์เดียวกันได้
"อย่างไรก็ตาม หากมีคนเข้าถึงคีย์นี้ พวกเขาอาจหลอกแอปพลิเคชันให้คิดว่ากำลังทำงานอยู่ในอุปกรณ์ของเจ้าของ ทำให้แฮ็กเกอร์เข้าถึงได้ทุกที่ และผู้ใช้ไม่สามารถป้องกันตัวเองในทางใดทางหนึ่งได้กล่าวว่า ไรอัน ที่ PCMag.
ผู้โจมตีไม่จำเป็นต้องติดต่อกับอุปกรณ์ด้วยซ้ำ เขาสามารถดึงคีย์โดยรับสิทธิ์ของผู้ดูแลระบบผ่านมัลแวร์บางตัว ซึ่งถึงแม้จะเป็นจุดเริ่มต้นของปัญหามากมายในกรณีนี้ก็ทำให้สถานการณ์แย่ลงไปอีก
ข่าวดีก็คือว่า วอลคอมม์ ได้แล้ว ถูกต้อง มัน ข้อผิดพลาด (CVE-2018-11976)ซึ่งส่งผลต่อโปรเซสเซอร์หลายตัวรวมถึง Snapdragon 845 และ 855พบได้ในสมาร์ทโฟนระดับไฮเอนด์ส่วนใหญ่ ดิ กลุ่ม ป.ป.ช. ได้แจ้งให้เธอทราบ วอลคอมม์ ตั้งแต่เดือนมีนาคม 2018
"เราปรบมือให้กับกลุ่ม ป.ป.ช. สำหรับการซ่อนช่องว่างด้านความปลอดภัยจากประชาชนทั่วไป เราได้แก้ไขข้อผิดพลาดดังกล่าวแล้ว และต้องการกระตุ้นให้ผู้ใช้ทุกคนอัปเกรดอุปกรณ์ของตนโดยเร็วที่สุดวอลคอมม์กล่าว แพตช์จะรวมอยู่ในความปลอดภัยของ Android ในเดือนเมษายน ปรับปรุง.
[the_ad_group id =” 966″]