侵權投訴
訂閱
糾錯
加入自媒體

高通超40款芯片曝重大漏洞:波及數(shù)十億Android設備

2019-04-29 08:41
來源: 驅動中國

當智能手機發(fā)展成為個人隱私和信息財產的重要載體,如何保證這款最常用智能設備的安全,便成為廣大用戶最為關心的問題。然而,雖然手機廠商都聲稱自家的產品有多么多么的安全,但類似信息泄密的不安全事件依然時有發(fā)生。

據(jù)ETTOP消息,英國安全業(yè)者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用來竊取芯片內所儲存的機密資訊,并波及采用相關芯片的數(shù)十億臺Android裝置。據(jù)悉,這是一個編號為CVE-2018-11976的漏洞,該漏洞允許黑客通過橢圓曲線數(shù)碼簽章算法推測出QSEE(高通芯片安全執(zhí)行環(huán)境)中以ECDSA加密的224位與256位的金鑰。

QSEE源自于ARM的TrustZone設計,主要用于建立一個隔離的安全世界以供軟件和機密資料運行。正常情況下,開發(fā)并利用 TrustZone 技術的設備提供了能夠支持完全可信執(zhí)行環(huán)境 (TEE) 以及安全感知應用程序和安全服務的平臺。然而,由于 ECDSA 簽章其實是在處理隨機數(shù)值的乘法回圈,一旦黑客反向恢復這個隨機數(shù)值,就可以通過既有技術復原完整私鑰。

NCC Group資深安全顧問Keegan Ryan指出,即便是安全世界與一般世界使用的是不同的硬件資源、軟件或資料,但由于兩者是基于同樣的微架構之上,所以依然可以通過一定的技術手段成功的從高通芯片上恢復256位加密鑰匙。

事實上,早在去年的時候,NCC Group就已經(jīng)發(fā)現(xiàn)了這一漏洞,并于當年3月將這一漏洞告知給高通,但不知何故直到今年4月高通才正式修補了這一漏洞。然根據(jù)高通所張貼的安全公告來看,這個被高通列為“重大漏洞”的漏洞問題應該還不小。

遺憾的是,目前為止并不清楚這些漏洞都隱匿在高通的哪些芯片當中,其涉及的數(shù)十億臺Android裝置具體都包含哪些機型。

聲明: 本文系OFweek根據(jù)授權轉載自其它媒體或授權刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內容、版權以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號