[PConline 资讯]如今,靠‘一部手机走天下’已不是遥不可及的梦想,手机支付、订机酒、社交、通讯、娱乐等等,全不在话下。能够实现的功能多了,对手机的安全性也就要求更高。 但就在近日,英国安全业者NCC Group公布了一个藏匿在近40款高通芯片的旁路漏洞,可窃取芯片内所储存的机密资讯,并影响到采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的安全漏洞。 据了解,该漏洞编号为CVE-2018-11976,涉及高通芯片安全执行环境(QSEE)的椭圆曲线数码签章算法(ECDSA),其将允许黑客推测出存放在QSEE中,以ECDSA加密的224位与256位的金钥。 这里所说的QSEE,源自ARM的TrustZone设计,是系统单晶片的安全核心,它建立了一个隔离的安全区域供可靠软件与机密资料使用,而其它软件则只能在一般区域内执行,QSEE即是高通根据TrustZone所打造的安全执行环境。 对此,NCC Group的资深安全顾问Keegan Ryan表示:“像TrustZone或QSEE等安全执行环境设计,受到许多行动装置和嵌入式装置的大量采用,就算安全区域与一般区域使用的是不同的硬件资源、软件或资料,但它们依然基于相同的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。” “大多数的ECDSA签章是在处理随机数值的乘法回圈,假如黑客能够恢复这个随机数值的少数位,就能利用现有技术恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,然而他们绕过了这些限制并找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。” 实际上,NCC Group早在去年就发现了这个漏洞,并于同年3月告知了高通,高通方面则一直到今年4月才正式修补。根据高通所张贴的安全公告显示,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全区域的私钥外泄至一般区域,并被高通列为重大漏洞,且影响了超过40款高通芯片,或涉及多达数十亿台Android手机及硬件设备。 |
正在阅读:曝高通数十款芯片存安全漏洞 影响数十亿部手机曝高通数十款芯片存安全漏洞 影响数十亿部手机
2019-05-03 00:15
出处:PConline原创
责任编辑:sunziyi
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品