این روزها شاهد کشف نقصهای امنیتی جدی در تراشههای کامپیوتری شرکتهای مختلف هستیم . این موضوع نگران کننده به نظر میرسد. حال به تازگی محققان گروه Check Point متوجه یک نقص امنیتی جدی در تراشههای ساخت شرکت کوالکام شدهاند که به طور بالقوه امکان دزدیدن اطلاعات مهم گوشیهای سامسونگ ، ال جی و موتورولا را برای مهاجمین فراهم میکند.
یافتههای این شرکت نشان میدهد که دنیای ایمن پردازندههای شرکت کوالکام توسط یک نقص امنیتی جدی تهدید میشود و این موضوع منجر به لو رفتن دادههای حفاظت شده، خطر باز کردن قفل bootloader و اجرای APT های غیر قابل کشف میشود. تیم امنیتی Check Point برای اولین بار از یافتههای خود در کنفرانس امنیتی Recon Montreal رونمایی کرد، اما پس از اعلام این موضوع، شرکت کوالکام با عرضه بروزرسانی تمام نقصهای امنیتی کشف شده را برطرف کرد.
شرکتهای سامسونگ و الجی بروزرسانیهای امنیتی خود را عرضه کردهاند، در حالی که شرکت موتورولا همچنان در حال کار بر روی این موضوع است. خبر این نقص امنیتی حدود چند ماه پس از عرضه بروزرسانی با هدف جلوگیری از نفوذ مهاجمین به اطلاعات شخصی و بخشهای مختلف دستگاه کاربران، منتشر شد.
تراشههای ساخت شرکت کوالکام شامل یک بخش امن با نام محیط اجرای اعتماد (TEE) میشوند که به منظور حفظ امنیت کدها و دادههای محرمانه موجود در تراشه ایجاد شده است. کوالکام برای ساخت بخش محیط اجرای اعتماد یا همان TEE، از فناوری TrustZone شرکت تراشه سازی ARM استفاده کرده است. این فناوری به تراشه اجازه میدهد تا دادههای حساس را به شکلی ذخیره سازی کنند که غیر قابل دستکاری باشند.
همچنین بخش امنیتی تراشهها توسط یک مؤلفه شخص ثالث با نام پردازش ایمن استفاده میکنند که از طریق بخش TEE بارگیری میشوند و در بخش سیستم عامل فناوری TrustZone اجرا میشوند. در واقع فناوری پردازش ایمن به عنوان یک پل میان دنیای عادی سیستم عاملهای موبایلی و بخش امن TEE برای انتقال اطلاعات عمل میکند.
در این بین نقطه بازرسی این فناوری از یک روش آزمایش خودکار استفاده کرده است، که به گفته محققین امنیتی تبدیل به یک نقص امنیتی شده است و اطلاعات سری و حفاظت شده درون پردازنده را به خطر میاندازد. در نهایت شرکت امنیتی Check Point موفق شده است تا با دور زدن روش آزمایش خودکار گوشیهای ساخت سامسونگ، الجی و موتورولا، به بخش پردازش ایمن گوشیهای هوشمند این سه شرکت دسترسی پیدا کند. خوشبختانه تا به امروز هیچ سو استفادهای از این نقص امنیتی صورت نگرفته است.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت