高通超40款芯片曝重大漏洞:波数十亿Android设备

驱动中国 中字

当智能手机发展成为个人隐私和信息财产的重要载体,如何保证这款最常用智能设备的安全,便成为广大用户最为关心的问题。然而,虽然手机厂商都声称自家的产品有多么多么的安全,但类似信息泄密的不安全事件依然时有发生。

据ETTOP消息,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的数十亿台Android装置。据悉,这是一个编号为CVE-2018-11976的漏洞,该漏洞允许黑客通过椭圆曲线数码签章算法推测出QSEE(高通芯片安全执行环境)中以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计,主要用于建立一个隔离的安全世界以供软件和机密资料运行。正常情况下,开发并利用TrustZone技术的设备提供了能够支持完全可信执行环境(TEE)以及安全感知应用程序和安全服务的平台。然而,由于ECDSA签章其实是在处理随机数值的乘法回圈,一旦黑客反向恢复这个随机数值,就可以通过既有技术复原完整私钥。

NCC Group资深安全顾问Keegan Ryan指出,即便是安全世界与一般世界使用的是不同的硬件资源、软件或资料,但由于两者是基于同样的微架构之上,所以依然可以通过一定的技术手段成功的从高通芯片上恢复256位加密钥匙。

事实上,早在去年的时候,NCC Group就已经发现了这一漏洞,并于当年3月将这一漏洞告知给高通,但不知何故直到今年4月高通才正式修补了这一漏洞。然根据高通所张贴的安全公告来看,这个被高通列为“重大漏洞”的漏洞问题应该还不小。

遗憾的是,目前为止并不清楚这些漏洞都隐匿在高通的哪些芯片当中,其涉及的数十亿台Android装置具体都包含哪些机型。

(作者:吴海艳)

声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存