曝高通数十款芯片存安全漏洞 影响数十亿部手机

发布时间:2019-05-07    来源:太平洋电脑网    浏览量:0
  [PConline 资讯]如今,靠‘一部手机走天下’已不是遥不可及的梦想,手机支付、订机酒、社交、通讯、娱乐等等,全不在话下。能够实现的功能多了,对手机的安全性也就要求更高。  但就在近日,英国安全业者NCC Group公布了一个藏匿在近40款高通芯片的旁路漏洞,可窃取芯片内所储存的机密资讯,并影响到采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的安全漏洞。   据了解,该漏洞编号为CVE-2018-11976,涉及高通芯片安全执行环境(QSEE)的椭圆曲线数码签章算法(ECDSA),其将允许黑客推测出存放在QSEE中,以ECDSA加密的224位与256位的金钥。   这里所说的QSEE,源自ARM的TrustZone设计,是系统单晶片的安全核心,它建立了一个隔离的安全区域供可靠软件与机密资料使用,而其它软件则只能在一般区域内执行,QSEE即是高通根据TrustZone所打造的安全执行环境。   对此,NCC Group的资深安全顾问Keegan Ryan表示:“像TrustZone或QSEE等安全执行环境设计,受到许多行动装置和嵌入式装置的大量采用,就算安全区域与一般区域使用的是不同的硬件资源、软件或资料,但它们依然基于相同的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。”   “大多数的ECDSA签章是在处理随机数值的乘法回圈,假如黑客能够恢复这个随机数值的少数位,就能利用现有技术恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,然而他们绕过了这些限制并找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。”   实际上,NCC Group早在去年就发现了这个漏洞,并于同年3月告知了高通,高通方面则一直到今年4月才正式修补。根据高通所张贴的安全公告显示,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全区域的私钥外泄至一般区域,并被高通列为重大漏洞,且影响了超过40款高通芯片,或涉及多达数十亿台Android手机及硬件设备。
新闻搜索
本网站是服务于千亿国际娱乐qy8千亿游戏平台的政府公益性网站,因部分信息来源于网络,如有侵权请来邮、来电告知,本站将立即改正。 指导单位: 千亿国际网页版工业和信息化厅 承办单位: 河南中小在线信息服务有限公司 豫ICP备17042489号 联系方式:0371-65749597 电子邮箱:65749597@163.com
豫公网安备 41010702002434号