Falha em chips Qualcomm expôs Galaxy S10 e dados de pagamento
Fabricante de chipsets anunciou que lançou patch de correção em 2014 e em outubro deste ano
Pesquisadores do Check Point Research (CPR) divulgaram uma vulnerabilidade no “Secure World”, ou TrustZone de chipsets Qualcomm, descoberta em junho deste ano. Considerado impenetrável, o ambiente armazena informações sensíveis, como dados bancários e de cartão.
Os pesquisadores analisaram a vulnerabilidade por cerca de quatro meses. A falha nos componentes para smartphones revela uma brecha que permite a hackers ou cibercriminosos acessar informações de pagamento móvel.
O ambiente em questão é o Trusted Execution Environment (TEE), projetado para trabalhar com o Rich Execution Environment; respectivamente, hardware e software. Ambos coexistem para tornar a área segura dos smartphones mais confiável.
O TEE da Qualcomm é baseado na tecnologia ARM TrustZone. Trata-se de um conjunto de segurança para chips de arquitetura ARM.
Durante o tempo de pesquisa, a CPR detectou que dispositivos da Samsung, LG e Motorola são suscetíveis à técnica de fuzzing, utilizada em testes de controle de qualidade para descobrir erros de codificação e brechas de segurança em softwares, sistemas operacionais ou redes.
Atualize seu smartphone
Quatro vulnerabilidades em códigos de smartphones da Samsung, incluindo o Galaxy S10, foram encontradas. No Brasil, o S10 e suas variantes utilizam chipset Exynos, da própria fabricante.
Na Motorola e LG, apenas uma falha foi detectada na pesquisa. No caso da Qualcomm, os pesquisadores alegam que “todos os códigos originados” possuíam vulnerabilidades.
Em nota enviada ao IT Forum 365, a Qualcomm reforçou que tais vulnerabilidades já foram corrigidas. A seguir, confira a nota da companhia na íntegra.
“O fornecimento de tecnologias que dão suporte a segurança e privacidade robustas é uma prioridade para a Qualcomm. As vulnerabilidades divulgadas pela Check Point foram corrigidas, uma no início de outubro de 2019 e a outra em novembro de 2014. Não vimos registros de exploração ativa dessa vulnerabilidade. De qualquer forma, incentivamos os usuários finais a atualizar seus dispositivos com correções disponibilizadas pelos OEMs.”
O mais recomendado, neste momento, é que usuários atualizem seus smartphones o quanto antes; seja uma atualização de sistema operacional ou de segurança.
A equipe do CPR alerta que, além disto, usuários precisam estar “atentos a qualquer atividade incomum realizada usando seus cartões de crédito ou débito.”