Falha em chips Qualcomm expôs Galaxy S10 e dados de pagamento

Pesquisadores do Check Point Research (CPR) divulgaram uma vulnerabilidade no “Secure World”, ou TrustZone de chipsets Qualcomm, descoberta em junho deste ano. Considerado impenetrável, o ambiente armazena informações sensíveis, como dados bancários e de cartão.

Os pesquisadores analisaram a vulnerabilidade por cerca de quatro meses. A falha nos componentes para smartphones revela uma brecha que permite a hackers ou cibercriminosos acessar informações de pagamento móvel.

O ambiente em questão é o Trusted Execution Environment (TEE), projetado para trabalhar com o Rich Execution Environment; respectivamente, hardware e software. Ambos coexistem para tornar a área segura dos smartphones mais confiável.

O TEE da Qualcomm é baseado na tecnologia ARM TrustZone. Trata-se de um conjunto de segurança para chips de arquitetura ARM.

Durante o tempo de pesquisa, a CPR detectou que dispositivos da Samsung, LG e Motorola são suscetíveis à técnica de fuzzing, utilizada em testes de controle de qualidade para descobrir erros de codificação e brechas de segurança em softwares, sistemas operacionais ou redes.

Atualize seu smartphone

Quatro vulnerabilidades em códigos de smartphones da Samsung, incluindo o Galaxy S10, foram encontradas. No Brasil, o S10 e suas variantes utilizam chipset Exynos, da própria fabricante.

Na Motorola e LG, apenas uma falha foi detectada na pesquisa. No caso da Qualcomm, os pesquisadores alegam que “todos os códigos originados” possuíam vulnerabilidades.

Em nota enviada ao IT Forum 365, a Qualcomm reforçou que tais vulnerabilidades já foram corrigidas. A seguir, confira a nota da companhia na íntegra.

“O fornecimento de tecnologias que dão suporte a segurança e privacidade robustas é uma prioridade para a Qualcomm. As vulnerabilidades divulgadas pela Check Point foram corrigidas, uma no início de outubro de 2019 e a outra em novembro de 2014. Não vimos registros de exploração ativa dessa vulnerabilidade. De qualquer forma, incentivamos os usuários finais a atualizar seus dispositivos com correções disponibilizadas pelos OEMs.”

O mais recomendado, neste momento, é que usuários atualizem seus smartphones o quanto antes; seja uma atualização de sistema operacional ou de segurança.

A equipe do CPR alerta que, além disto, usuários precisam estar “atentos a qualquer atividade incomum realizada usando seus cartões de crédito ou débito.”