Secure World, o “cofre” da Qualcomm, não é infalível

O processador "Secure World" - sistema da Qualcomm usado para armazenar dados confidenciais em dispositivos móveis - pode ser explorado e levar à fuga de informações financeiras, descobriu a Check Point, ao conseguir entrar nesse compartimentos de telemóveis das marcas Samsung, LG, Xiaomi, Motorola, Nexus, entre outros. A tecnologia de processadores da Qualcomm é utilizada em quase metade de todos os smartphones do mundo.

O Secure World faz parte do Trusted Execution Environment (TEE) suportado por hardware da Qualcomm, baseado no ARM TrustZone. O TrustZone é o “cofre” onde os dados mais sensíveis dos utilizadores são mantidos - impressões digitais, reconhecimento facial, cartões de crédito ou passaportes.

Regra geral, as vulnerabilidades encontradas em dispositivos Android é limitada ao Rich Execution Environment (REE) do sistema operativo, onde residem a maioria das funcionalidades e vulnerabilidades do telefone. O REE pode ser considerado o "mundo não seguro" de um dispositivo móvel.

O TEE, baseado na arquitetura TrustZone e que usa hardware para adicionar camadas de segurança, criando uma sandbox que protege os dados e executa códigos confiáveis, deverá ser entendido como o “mundo seguro”. Mas a Check Point conseguiu provar que estas camadas de segurança não são inquebráveis. A equipa de investigadores usou a técnica "fuzzing", lançando dados suficientemente confusos para confundirem o próprio sistema operativo. À medida que o sistema foi falhando, foram expostas vulnerabilidades.

A Qualcomm confirmou as vulnerabilidades sinalizadas pela Check Point, e afirma que foram entretanto corrigidas. Os dispositivos atualizados não deverão, assim, correr riscos.