fbpx
cybersecurity-pagamenti mobile

Pagamenti mobile: sono davvero sicuri?


Finora, il “Secure World” di Qualcomm è stato ritenuto come qualcosa di impenetrabile. Di conseguenza, tutte le informazioni sulle nostre carte di credito/debito, insieme ad altre informazioni sensibili e personali conservate sui nostri smartphone, vengono salvate direttamente nel cosiddetto “Secure World”. Ma i nostri pagamenti col mobile sono davvero così sicuri?

La ricerca

Dopo uno studio della durata di 4 mesi, Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha smontato la convinzione che il “Secure World” di Qualcomm sia a prova di violazione da parte degli hacker. Il sistema Qualcomm è sempre stato riconosciuto dagli esperti del settore come il comparto più sicuro dei nostri smartphone. La ricerca di Check Point rivela, invece, l’esistenza di una falla che consente unicamente agli hacker di rubare le nostre informazioni relative ai pagamenti mobile.

Gli smartphone e Qualcomm

È risaputo che le soluzioni software “pure” hanno dei limiti di sicurezza. I sistemi di archiviazione protetti basati su meccanismi software puri, infatti, mancano di importanti specifiche di sicurezza hardware e, pertanto, espongono i dati a una gamma più ampia di minacce. Il software Android di per sé ha le stesse limitazioni di sicurezza che Qualcomm affronta attraverso caratteristiche basate su hardware. Per superare questo limite, il runtime di Android deve essere protetto sia dagli aggressori, sia dagli utenti. Questo viene generalmente ottenuto spostando il software di storage protetto in un TEE (Trusted Execution Environment) supportato dall’hardware.

I sistemi operativi mobile, come Android, offrono un Rich Execution Environment (REE), che fornisce un ambiente runtime estremamente esteso e versatile. Pur apportando flessibilità e capacità, il REE rende i dispositivi vulnerabili a un’ampia gamma di minacce alla sicurezza. Il TEE è progettato per risiedere accanto al REE e fornire un’area sicura sul dispositivo per proteggere le risorse ed eseguire codice sicuro.

Il TEE di Qualcomm è basato sulla tecnologia ARM TrustZone. TrustZone è un insieme di estensioni di sicurezza su processori con architettura ARM che forniscono un processore virtuale sicuro supportato da un controllo degli accessi basato su hardware. Questo processore virtuale sicuro è spesso indicato come il “Secure World”, rispetto al “non-secure world”, dove risiede il REE. Nel 2018, è stato documentato che Qualcomm ha guidato il mercato dei processori con una quota del 45%.

cybersecurity-pagamenti mobile-falla

Check Point ha scoperto la falla aperta

In un progetto di ricerca della durata di 4 mesi, i ricercatori di Check Point sono riusciti a trovare la falla all’interno del sistema operativo “Secure World” di Qualcomm. I ricercatori hanno sfruttato la tecnica del “fuzzing” per esporre la falla in merito ai pagamenti mobile. Il fuzzing (o fuzz testing) è una tecnica usata per individuare errori di codifica e falle di sicurezza nel software, nei sistemi operativi o nelle reti. Si tratta di inviare enormi quantità di dati casuali, chiamati fuzz, al sistema oggetto del test allo scopo di causarne il crash.

Disclosure responsabile

Check Point Research ha divulgato responsabilmente i propri risultati. Qualcomm ha riconosciuto i risultati dello studio e ha corretto la vulnerabilità (CVE-2019-10574). A questo link è disponibile il blog post (in inglese) dello studio.

[amazon_link asins=’B009M5MQVA,B07MSDPX2D,1709398698′ template=’ProductCarousel’ store=’gamspri02-21′ marketplace=’IT’ link_id=’e5cc1b46-09b7-42b6-b6b9-d4e9f309d102′]

Elisa Erriu

author-publish-post-icon
"Lo scrivere" è il suo mestiere. Ma oltre alla coltre delle sue varie esperienze giornalistiche e dei suoi Master, c'è un mondo fatto di fantasy, anime, film, videogame, musica, Ichnusa, My Little Pony e oggettistica del Re Leone (l'originale!). Attenzione: se pronunciate per tre volte il suo nome giapponese, apparirà alle vostre spalle.
                   










 
Sì, iscrivimi alla newsletter!
close-link