侵权投诉
订阅
纠错
加入自媒体

高通超40款芯片曝重大漏洞:波数十亿Android设备

2019-04-29 09:24
来源: 驱动中国

当智能手机发展成为个人隐私和信息财产的重要载体,如何保证这款最常用智能设备的安全,便成为广大用户最为关心的问题。然而,虽然手机厂商都声称自家的产品有多么多么的安全,但类似信息泄密的不安全事件依然时有发生。

据ETTOP消息,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的数十亿台Android装置。据悉,这是一个编号为CVE-2018-11976的漏洞,该漏洞允许黑客通过椭圆曲线数码签章算法推测出QSEE(高通芯片安全执行环境)中以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计,主要用于建立一个隔离的安全世界以供软件和机密资料运行。正常情况下,开发并利用TrustZone技术的设备提供了能够支持完全可信执行环境(TEE)以及安全感知应用程序和安全服务的平台。然而,由于ECDSA签章其实是在处理随机数值的乘法回圈,一旦黑客反向恢复这个随机数值,就可以通过既有技术复原完整私钥。

NCC Group资深安全顾问Keegan Ryan指出,即便是安全世界与一般世界使用的是不同的硬件资源、软件或资料,但由于两者是基于同样的微架构之上,所以依然可以通过一定的技术手段成功的从高通芯片上恢复256位加密钥匙。

事实上,早在去年的时候,NCC Group就已经发现了这一漏洞,并于当年3月将这一漏洞告知给高通,但不知何故直到今年4月高通才正式修补了这一漏洞。然根据高通所张贴的安全公告来看,这个被高通列为“重大漏洞”的漏洞问题应该还不小。

遗憾的是,目前为止并不清楚这些漏洞都隐匿在高通的哪些芯片当中,其涉及的数十亿台Android装置具体都包含哪些机型。

(作者:吴海艳)

声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

    光通讯 猎头职位 更多
    文章纠错
    x
    *文字标题:
    *纠错内容:
    联系邮箱:
    *验 证 码:

    粤公网安备 44030502002758号