高通致命漏洞曝光 波及数十亿安卓设备

老牌代码安全审计机构NCC Group公布了40款内含旁路漏洞的高通芯片。

据悉，该漏洞允许攻击者窃取芯片内存储的机密讯息，漏洞或波及采用相关芯片的数十亿台Android设备。

这是一个编号为CVE-2018-11976的漏洞。NCC Group在去年3月发现并第一时间通知了高通。

NCC Group资深安全顾问Keegan Ryan称，该漏洞允许黑客通过椭圆曲线数码签章算法推测出QSEE（高通芯片安全执行环境）中以ECDSA加密的224位与256位的金钥。

QSEE源自ARMTrustZone，该技术与Cortex?-A处理器紧密集成，并通过AMBA?AXI总线和特定的TrustZone系统IP块在系统中进行扩展。

此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设，从而可确保它们免遭软件攻击。

正常来说，按照TrustZone Ready Program建议开发并利用TrustZone技术的设备提供了能够支持完全可信执行环境(TEE)以及安全感知应用程序和安全服务的平台。

但是，Ryan认为ECDSA签章其实是在处理随机数值的乘法回圈，一旦黑客反向恢复这个随机数值，就可以通过既有技术复原完整私钥。

实际上，Ryan证明了有两个区域极易泄露这些随机数值的少数位，并且还绕过了这两个区域的对抗旁路攻击机制，成功恢复了Nexus5X手机上所存放的256位私钥。

高通安全公告显示，CVE-2018-11976被高通列为重大漏洞，其可能影响40款高通芯片，涉及Android手机及其他产品多达数十亿台。

据悉，直到今年4月高通才正式修复了这一漏洞。

漏洞芯片高通数十

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。