2016/07/04

Qualcomm deixa encriptação nos Android vulnerável


O recente caso da Apple vs FBI veio demonstrar que a única forma de manter os dados dos utilizadores seguros é fazer com que nem sequer os fabricantes dos equipamentos tenham acesso a eles, mas nos Android há uma falha que põe em risco a encriptação dos dados nos dispositivos com SoC da Qualcomm.

O Android não demorou a seguir a Apple e activar a encriptação de dados nos Nexus (infelizmente até com graves consequências a nível de desempenho no Nexus 6 - e sem dar a opção aos utilizadores para a desligarem). Mas o problema é que a prometida segurança dos dados encriptados não será assim tão segura.

Manter um sistema "seguro" é uma tarefa incrivelmente complicada, e que hoje em dia passa pela utilização de unidades independentes e isoladas do resto do sistemas normais nos chips de processamento, que tornam praticamente impossível serem "crackados" (a não ser que se usem métodos incrivelmente complexos e dispendiosos). A Qualcomm também recorre a um sistema idêntico nos seus chips, o problema é que uma das chaves de segurança é guardada por software e acessível pelo sistema comprometendo seriamente a segurança de todos os dados encriptados - bastará usar uma app maliciosa para recuperar esta chave, e depois o processo de descodificar todos os dados no smartphone passa a ser uma questão de tempo, podendo ser realizada em tempo útil utilizando sistemas especializados nessa tarefa.

Esta falha já foi corrigida, mas o problema é que há milhões de dispositivos que permanecem vulneráveis, e provavelmente assim continuarão durante o resto da sua vida útil.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]