高通近40款晶元被曝出泄密漏洞 波及數十億部手機

PingWest品玩4月28日訊，據EETOP報道，英國安全業者NCC Group公布了藏匿在逾40款高通晶元的旁路漏洞，可用來竊取晶元內所儲存的機密資訊，並波及採用相關晶元的Android裝置，高通已於本月初修補了這一在去年就得知的漏洞。

此一編號為CVE-2018-11976的漏洞，涉及高通晶元安全執行環境（Qualcomm Secure Execution Environment，QSEE）的橢圓曲線數碼簽章演算法（Elliptic Curve Digital Signature Algorithm，ECDSA），將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。

QSEE源自於ARM的TrustZone設計，TrustZone為系統單晶片的安全核心，它建立了一個隔離的安全世界來供可靠軟體與機密資料使用，而其它軟體則只能在一般的世界中執行，QSEE即是高通根據TrustZone所打造的安全執行環境。

NCC Group早在去年就發現了此一漏洞，並於去年3月知會高通，高通則一直到今年4月才正式修補。

根據高通所張貼的安全公告，CVE-2018-11976屬於ECDSA簽章代碼的加密問題，將會讓存放在安全世界的私鑰外泄至一般世界。它被高通列為重大漏洞，而且影響超過40款的高通晶元，可能波及多達數十億台的Android手機及設備。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！