Descubren una vulnerabilidad crítica en Qualcomm que podría afectar a casi la mitad de los smartphones del mundo

19 noviembre, 2019
6 Compartido 4,693 Visualizaciones

Alertan de que este nuevo caso permite a los cibercriminales tener acceso al terminal y provocar, entre otras cosas, fugas de datos protegidos y el robo de información y credenciales de pago móvil

Check Point ha descubierto una serie de vulnerabilidades críticas en Qualcomm TrustZone que podría provocar, entre otras cosas, fugas de datos protegidos y el robo de información y credenciales de pago móvil. Esta aplicación es una extensión de seguridad integrada por ARM en el procesador Corex-A, que es una parte integral de todos los dispositivos móviles modernos Android de marcas como Samsung, Xiaomi, Sony, Nexus, LG o HTC, entre otros. De hecho, según un estudio de Strategy Analytics, casi la mitad de todos los smartphones del mundo utilizan la tecnología de los procesadores Qualcomm.

Durante 4 meses, Check Point ha estado analizando las posibles debilidades del sistema operativo “Mundo Seguro” de Qualcomm. Para ello, los investigadores de la compañía utilizaron una técnica conocida como “fuzzing”, un método que se emplea para para verificar los niveles de seguridad y descubrir así errores de codificación y lagunas de seguridad en software, sistemas operativos o redes. A través de esta técnica, la compañía descubrió 4 vulnerabilidades en el código de confianza implementado por Samsung (incluidos algunos de los últimos lanzamientos de la compañía como el S10), 1 en Motorola, 1 en LG, 1 relacionado con LG, pero todo el código proviene de Qualcomm.

¿Qué es TrustZone y por qué es una vulnerabilidad crítica?

La extensión de seguridad TrustZone de Qualcomm crea un entorno virtual aislado y seguro que el propio sistema operativo utiliza para proporcionar confidencialidad e integridad al dispositivo. Este entorno se conoce como Trusted Execution Environment (TEE), y una vulnerabilidad en este código es crítica debido a que se encarga de aportar seguridad a los datos almacenados en el dispositivo, y, además, cuenta con muchos permisos de ejecución.  De esta forma, si la integridad del TEE se ve comprometida, se pueden producir fallos en los dispositivos como fugas de datos, desbloqueo del gestor de arranque o la ejecución de APT indetectable. De esta forma, un atacante podría comprometer la seguridad del terminal de manera remota y realizar distintas actividades maliciosas. 

Por otra parte, esta vulnerabilidad se une a los recientes casos que ha experimentado la compañía en los últimos meses, en los que Qualcomm alertó de que dos de sus procesadores para dispositivos móviles habían sufrido fallos de seguridad que permitían atacar a los smartphones de miles de usuarios y comprometer la integridad del sistema operativo Android a través del acceso al chip WLAN, también a distancia. En este sentido, Eusebio Nieva, director técnico de Check Point para España y Portugal, señala que “este tipo de vulnerabilidades suponen un grave riesgo tanto para los dispositivos como para la información personal que los usuarios almacenan en ellos. Además, es fundamental tener en cuenta que, aunque los teléfonos son uno de los dispositivos más utilizados en nuestro día a día, existe una tendencia generalizada a no utilizar medidas de protección, por lo que a través de estas vulnerabilidades los cibercriminales encuentran una vía de acceso a una gran cantidad de información”

¿Qué pueden hacer los usuarios para protegerse frente a esta vulnerabilidad?

El smartphone se ha convertido en un compañero imprescindible tanto a nivel personal como por su uso en entornos corporativos, y la gran cantidad de información que almacenan les ha convertido en el principal objetivo de los cibercriminales. Por este motivo, desde Check Point alertan sobre el hecho de que los teléfonos inteligentes son uno de los dispositivos más desprotegidos, y señalan la importancia de adquirir concienciación sobre la necesidad de adoptar una estrategia de seguridad centrada en garantizar la protección de los datos que almacenan.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

INCIBE ostenta una de las dos vicepresidencias del Foro
Actualidad
170 visualizaciones
Actualidad
170 visualizaciones

INCIBE ostenta una de las dos vicepresidencias del Foro

Alicia Burrueco - 17 noviembre, 2020

El Foro Nacional de Ciberseguridad, constituido el pasado 22 de julio, tiene como principales objetivos fomentar la cultura de ciberseguridad en…

OnePlus presenta Crackables, una serie de cripto-desafíos para gamers de todo el mundo
Actualidad
18 compartido1,401 visualizaciones
Actualidad
18 compartido1,401 visualizaciones

OnePlus presenta Crackables, una serie de cripto-desafíos para gamers de todo el mundo

Vicente Ramírez - 20 septiembre, 2018

Gamers de todo el mundo tendrán la oportunidad de ganar un gaming setup valorado en 30,000$, además de otros muchos…

La ciberseguridad como reto digital para las empresas, a debate en Alicante
Actualidad
12 compartido1,769 visualizaciones
Actualidad
12 compartido1,769 visualizaciones

La ciberseguridad como reto digital para las empresas, a debate en Alicante

Vicente Ramírez - 15 mayo, 2018

Amazon, Web Services, Huawei y Vodafone asistirán al evento que tendrá lugar el 24 de mayo en las las instalaciones del…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.