正在阅读:曝高通数十款芯片存安全漏洞 影响数十亿部手机曝高通数十款芯片存安全漏洞 影响数十亿部手机

2019-05-03 00:15 出处:PConline原创 作者:卡夫卡 责任编辑:sunziyi

  [PConline 资讯]如今,靠‘一部手机走天下’已不是遥不可及的梦想,手机支付、订机酒、社交、通讯、娱乐等等,全不在话下。能够实现的功能多了,对手机的安全性也就要求更高。

  但就在近日,英国安全业者NCC Group公布了一个藏匿在近40款高通芯片的旁路漏洞,可窃取芯片内所储存的机密资讯,并影响到采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的安全漏洞。

   据了解,该漏洞编号为CVE-2018-11976,涉及高通芯片安全执行环境(QSEE)的椭圆曲线数码签章算法(ECDSA),其将允许黑客推测出存放在QSEE中,以ECDSA加密的224位与256位的金钥。

   这里所说的QSEE,源自ARM的TrustZone设计,是系统单晶片的安全核心,它建立了一个隔离的安全区域供可靠软件与机密资料使用,而其它软件则只能在一般区域内执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

   对此,NCC Group的资深安全顾问Keegan Ryan表示:“像TrustZone或QSEE等安全执行环境设计,受到许多行动装置和嵌入式装置的大量采用,就算安全区域与一般区域使用的是不同的硬件资源、软件或资料,但它们依然基于相同的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。”

   “大多数的ECDSA签章是在处理随机数值的乘法回圈,假如黑客能够恢复这个随机数值的少数位,就能利用现有技术恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,然而他们绕过了这些限制并找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。”

   实际上,NCC Group早在去年就发现了这个漏洞,并于同年3月告知了高通,高通方面则一直到今年4月才正式修补。根据高通所张贴的安全公告显示,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全区域的私钥外泄至一般区域,并被高通列为重大漏洞,且影响了超过40款高通芯片,或涉及多达数十亿台Android手机及硬件设备。

 
3月人均流量令人不敢相信 其中你用了多少? 惠普智慧文印中枢全面升级你的智能办公体验 惠普新一代A3数码复合机E77428dn评测 当智能来敲门 你应开门迎接理光IM C4500吗? 5G网络到底有多快 速度能快过千兆光纤? 面部识别技术来了 将覆盖97%美国离境乘客

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品