正在閱讀:曝高通數十款晶片存安全漏洞 影響數十億部手機曝高通數十款晶片存安全漏洞 影響數十億部手機

2019-05-03 00:15 出處:PConline原創 作者:卡夫卡 責任編輯:sunziyi

  [PConline 資訊]如今,靠‘一部手機走天下’已不是遙不可及的夢想,手機支付、訂機酒、社交、通訊、娛樂等等,全不在話下。能夠實現的功能多了,對手機的安全性也就要求更高。

  但就在近日,英國安全業者NCC Group公佈了一個藏匿在近40款高通晶片的旁路漏洞,可竊取晶片內所儲存的機密資訊,並影響到採用相關晶片的Android裝置,高通已於本月初修補了這一在去年就得知的安全漏洞。

   據了解,該漏洞編號為CVE-2018-11976,涉及高通晶片安全執行環境(QSEE)的橢圓曲線數碼簽章算法(ECDSA),其將允許駭客推測出存放在QSEE中,以ECDSA加密的224位與256位的金鑰。

   這裡所說的QSEE,源自ARM的TrustZone設計,是系統單晶片的安全核心,它建立了一個隔離的安全區域供可靠軟體與機密資料使用,而其它軟體則只能在一般區域內執行,QSEE即是高通根據TrustZone所打造的安全執行環境。

   對此,NCC Group的資深安全顧問Keegan Ryan表示:“像TrustZone或QSEE等安全執行環境設計,受到許多行動裝置和嵌入式裝置的大量採用,就算安全區域與一般區域使用的是不同的硬體資源、軟體或資料,但它們依然基於相同的微結構上,於是他們打造了一些工具來監控QSEE的資料流與程式流,並找出高通導入ECDSA的安全漏洞,成功地從高通晶片上恢復256位的加密私鑰。”

   “大多數的ECDSA簽章是在處理隨機數值的乘法回圈,假如駭客能夠恢復這個隨機數值的少數位,就能利用現有技術恢復完整的私鑰,他們發現有兩個區域可外洩該隨機數值的資訊,儘管這兩個區域都含有對抗旁路攻擊的機制,然而他們繞過了這些限制並找出了該數值的部份位,而且成功恢復了Nexus 5X手機上所存放的256位私鑰。”

   實際上,NCC Group早在去年就發現了這個漏洞,並於同年3月告知了高通,高通方面則一直到今年4月才正式修補。根據高通所張貼的安全公告顯示,CVE-2018-11976屬於ECDSA簽章代碼的加密問題,將會讓存放在安全區域的私鑰外洩至一般區域,並被高通列為重大漏洞,且影響了超過40款高通晶片,或涉及多達數十億台Android手機及硬體設備。

 
3月人均流量令人不敢相信 其中你用了多少? 惠普智慧文印中樞全面陞級你的智能辦公體驗 惠普新一代A3數碼複合機E77428dn評測 當智能來敲門 你應開門迎接理光IM C4500嗎? 5G網路到底有多快 速度能快過千兆光纖? 面部識別技術來了 將覆蓋97%美國離境乘客

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品