您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技前沿
分享

高通近40款芯片被曝出泄密漏洞!波及數(shù)十億部手機

據(jù)EETOP論壇27日報道,英國安全業(yè)者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用來竊取芯片內所儲存的機密資訊,并波及采用相關芯片的Android裝置,高通已于本月初修補了這一在去年就得知的漏洞。

此一編號為CVE-2018-11976的漏洞,涉及高通芯片安全執(zhí)行環(huán)境(Qualcomm Secure Execution Environment,QSEE)的橢圓曲線數(shù)碼簽章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。

QSEE源自于ARM的TrustZone設計,TrustZone為系統(tǒng)單晶片的安全核心,它建立了一個隔離的安全世界來供可靠軟件與機密資料使用,而其它軟件則只能在一般的世界中執(zhí)行,QSEE即是高通根據(jù)TrustZone所打造的安全執(zhí)行環(huán)境。

高通近40款芯片被曝出泄密漏洞!波及數(shù)十億部手機

NCC Group資深安全顧問Keegan Ryan指出,諸如TrustZone或QSEE等安全執(zhí)行環(huán)境設計,受到許多行動裝置與嵌入式裝置的廣泛采用,只是就算安全世界與一般世界使用的是不同的硬件資源、軟件或資料,但它們依然奠基在同樣的微架構上,于是他們打造了一些工具來監(jiān)控QSEE的資料流與程序流,并找出高通導入ECDSA的安全漏洞,成功地從高通芯片上恢復256位的加密私鑰。

Ryan解釋,大多數(shù)的ECDSA簽章是在處理隨機數(shù)值的乘法回圈,假設黑客能夠恢復這個隨機數(shù)值的少數(shù)位,就能利用既有的技術來恢復完整的私鑰,他們發(fā)現(xiàn)有兩個區(qū)域可外泄該隨機數(shù)值的資訊,盡管這兩個區(qū)域都含有對抗旁路攻擊的機制,不過他們繞過了這些限制,找出了該數(shù)值的部份位,而且成功恢復了Nexus 5X手機上所存放的256位私鑰。

NCC Group早在去年就發(fā)現(xiàn)了此一漏洞,并于去年3月知會高通,高通則一直到今年4月才正式修補。

根據(jù)高通所張貼的安全公告,CVE-2018-11976屬于ECDSA簽章代碼的加密問題,將會讓存放在安全世界的私鑰外泄至一般世界。它被高通列為重大漏洞,而且影響超過40款的高通芯片,可能波及多達數(shù)十億臺的Android手機及設備。

責任編輯:肖舒

       特別聲明:本網(wǎng)登載內容出于更直觀傳遞信息之目的。該內容版權歸原作者所有,并不代表本網(wǎng)贊同其觀點和對其真實性負責。如該內容涉及任何第三方合法權利,請及時與ts@hxnews.com聯(lián)系或者請點擊右側投訴按鈕,我們會及時反饋并處理完畢。

最新科技前沿 頻道推薦
進入新聞頻道新聞推薦
iQOO 13銷量創(chuàng)下新紀錄 上市首日超越所
進入圖片頻道最新圖文
進入視頻頻道最新視頻
一周熱點新聞
下載海湃客戶端
關注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報電話:0591-87095414 舉報郵箱:service@hxnews.com

本站游戲頻道作品版權歸作者所有,如果侵犯了您的版權,請聯(lián)系我們,本站將在3個工作日內刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護,謹防受騙上當,適度游戲益腦,沉迷游戲傷身,合理安排時間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日報主管主辦) 版權所有 閩ICP備15008128號-2 閩互聯(lián)網(wǎng)新聞信息服務備案編號:20070802號

福建日報報業(yè)集團擁有海峽都市報(海峽網(wǎng))采編人員所創(chuàng)作作品之版權,未經(jīng)報業(yè)集團書面授權,不得轉載、摘編或以其他方式使用和傳播。

版權說明| 海峽網(wǎng)全媒體廣告價| 聯(lián)系我們| 法律顧問| 舉報投訴| 海峽網(wǎng)跟帖評論自律管理承諾書

友情鏈接:新聞頻道?| 福建頻道?| 新聞聚合