Exploit QSEE afecta a 60% de los Android empresariales

La mayoría de los usuarios corporativos de Android son vulnerables a un exploit que permite a un hacker tomar el control y modificar hasta el SO.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Según el investigador y desarrollador de Duo Labs, Kyle Lady, el 80% de los teléfonos corporativos tienen el chipset Qualcomm, pero sólo una cuarta parte de ellos han aplicado la actualización de seguridad, dejando el 60% vulnerables.
De hecho según los datos de Duo, el 27% de los dispositivos son permanentemente vulnerables ya que son demasiado viejos para obtener las actualizaciones mensuales.

Además Lady explicó que la vulnerabilidad permite el acceso al Qualcomm Secure Executive Environment, una parte aislada del teléfono donde el sistema operativo ejecuta el esqueleto de las claves del cifrado, protege el hardware, y se ocupa de otras operaciones sensibles.

La vulnerabilidad QSEE fue descrita por primera vez por Gal Beniamini en Bits, Please! Blog: se basa en un agujero de seguridad en una de las aplicaciones de confianza del Qsee, la que gestiona las claves de cifrado para el software DRM de Widevine.

“Hay poco que las empresas pueden hacer para protegerse contra esta vulnerabilidad”, según el especialista.