Qualcomm-lek legt gegevens van mobiele betalingen bloot

Bunnik – Tot nu toe ging iedereen ervan uit dat Qualcomm’s ‘Secure World’ onaantastbaar is. De gegevens van onze creditcards en bankpassen worden dan ook, samen met andere persoonlijke en gevoelige informatie, via Qualcomm rechtstreeks op onze telefoons opgeslagen. Check Point heeft tijdens een vier maanden durend onderzoek vastgesteld dat het systeem – door experts geroemd als het veiligste onderdeel van onze telefoons – toch niet bestand is tegen hackers. Uit het onderzoek blijkt dat er een gapend gat bestaat, waarlangs cybercriminelen informatie over onze mobiele betalingen zouden kunnen stelen.

Wereldwijd vertrouwt bijna helft mobiele telefoons op Qualcomm

Het is bekend dat pure softwareoplossingen beveiligingsbeperkingen hebben. Veilige opslagsystemen die gebaseerd zijn op pure softwaremechanismen, missen belangrijke hardwarematige beveiligingsfuncties en maken gegevens daardoor kwetsbaar voor allerlei bedreigingen. Android-software heeft op zichzelf dezelfde beveiligingsbeperkingen, die Qualcomm via hardware-gebaseerde functies aanpakt. Hiervoor moet de runtime van Android beschermd worden tegen zowel aanvallers als gebruikers. Dit wordt doorgaans mogelijk door de beveiligde opslagsoftware naar een door hardware ondersteunde Trusted Execution Environment (TEE) te verplaatsen.

Mobiele besturingssystemen, zoals Android, hebben een Rich Execution Environment (REE), met een heel uitgebreide en veelzijdige runtime-omgeving. REE biedt flexibiliteit en mogelijkheden, maar maakt apparaten ook kwetsbaar voor een breed scala aan beveiligingsrisico’s. De TEE is ontworpen om naast de REE te bestaan en vormt op het apparaat een veilig gebied voor de bescherming van assets en voor het uitvoeren van vertrouwde code.

De TEE in het systeem van Qualcomm steunt op ARM TrustZone-technologie. TrustZone is een verzameling beveiligingsuitbreidingen op ARM-architectuurprocessors, die een veilige processor met hardware-gebaseerde toegangscontrole biedt. Deze beveiligde virtuele processor wordt vaak de ‘veilige wereld’ genoemd, in vergelijking met de ‘niet-veilige wereld’, waarin een REE zich bevindt. In 2018 bleek dat Qualcomm de processormarkt met een omzetaandeel van 45% domineert.

Check Point opende het ‘gat’ via ‘fuzzing’

Tijdens het vier maanden durende onderzoeksproject hebben onderzoekers van Check Point met succes geprobeerd om Qualcomm’s ‘Secure World’-besturingssysteem ongedaan te maken. Ze gebruikten de ‘fuzzing’-techniek om het lek bloot te leggen. Fuzz-testen (fuzzing) zijn een methode voor kwaliteitsborging en dienen om coderingsfouten en beveiligingslekken in software, besturingssystemen of netwerken te ontdekken. Hierbij worden enorme hoeveelheden willekeurige gegevens, de zogenaamde fuzz, in een testsysteem ingevoerd in een poging het te doen crashen.

Check Point heeft een op maat gemaakte fuzzing-tool geïmplementeerd om vertrouwde code te testen op apparaten van Samsung, LG en Motorola. Met behulp van ‘fuzzing’ vond Check Point vier kwetsbaarheden in vertrouwde code die is geïmplementeerd door Samsung (inclusief de S10), één bij Motorola, één bij LG, één gerelateerd aan LG, maar allemaal van Qualcomm zelf afkomstig.

Resultaten gedeeld met alle partijen

Check Point Research heeft zijn bevindingen gedeeld met de betrokken partijen. Samsung heeft drie kwetsbaarheden hersteld, LG heeft voor eentje een patch gestuurd. Motorola heeft gereageerd, maar moet nog altijd patchen. Qualcomm heeft de kwetsbaarheid inmiddels ook gepatcht.

Wat gebruikers moeten doen

Check Point Research adviseert gebruikers van deze mobiele telefoons om waakzaam te blijven en hun creditcards en bankpassen te controleren op ongebruikelijke activiteiten. In de tussentijd werkt Check Point samen met de betrokken leveranciers aan het uitsturen van patches.