换肤

logo

logo

高通近40款芯片被曝出泄密漏洞!波及数十亿部手机

2019-04-29 06:45:50 | 来源:新浪科技 | 作者:
根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备

据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。

Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。

声明:本站原创文章版权归专门网所有,编译文章的中文版权归专门网所有,转载文章版权归原作者所有,编译和转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。转载本站作品用于非商业用途无需许可,但需注明出处为专门网,商业用途须取得本站书面授权许可。
广告合作请联系QQ755851098

我要评论

共有 0 条评论

加入51NB

资讯编辑

职位描述:

    1、负责网站资讯的编辑与发布;
    2、负责网站日常维护,喜欢策划撰写原创话题;

职位要求:

    1、 大专及以上学历;
    2、 有一定文字功底,能独立进行写作、编辑
    3、 对数码产品有浓厚兴趣,关注互联网新动态;
    4、 擅长使用新媒体运营工具;
    5、 工作具有很大灵活性,希望能发挥个人主观能动性。
请将您的简历发送至: service@51nb.com

翻译编辑

职位描述:

    翻译NotebookCheck等外媒评测文章;

职位要求:

    1、 拒绝机翻;
    2、 行文应言简意赅,考虑国内语言习惯;
    3、 能够学习使用简单的html格式代码。
请将您的简历发送至: service@51nb.com

评测编辑

职位描述:

    1、撰写数码产品相关开箱与评测;
    2、能够灵活运用外媒文章素材;

职位要求:

    没啥要求,能写出个性就行。
请将您的简历发送至: service@51nb.com

论坛编辑

职位描述:

    1、负责在论坛制造高质量的讨论话题;
    2、负责轻度的论坛板块管理工作;

职位要求:

    有玩论坛经验者优先
请将您的简历发送至: service@51nb.com

最新评论

会员登录 ×