高通晶元曝出重大漏洞 40款晶元 十幾億手機受災
據EETOP論壇27日報道,英國安全業者NCC Group公布了藏匿在逾40款高通晶元的旁路漏洞,可用來竊取晶元內所儲存的機密資訊,並波及採用相關晶元的Android裝置,高通已於本月初修補了這一在去年就得知的漏洞。
從曝光的信息來看,這次受影響的晶元包括驍龍835、驍龍845、驍龍660、驍龍710等數十款熱門晶元,影響範圍非常大。
NCC Group資深安全顧問Keegan Ryan稱,此一編號為CVE-2018-11976的漏洞,涉及高通晶元安全執行環境的橢圓曲線數碼簽章演算法(Elliptic Curve Digital Signature Algorithm,ECDSA),將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。
QSEE源自於ARM的TrustZone設計,TrustZone為系統單晶片的安全核心,它建立了一個隔離的安全世界來供可靠軟體與機密資料使用,而其它軟體則只能在一般的世界中執行,QSEE即是高通根據TrustZone所打造的安全執行環境。
簡單來說,只要通過技術手段,就可以成功竊取到晶元內的一些機密資料,而且這些泄密的晶元可能涉及到了幾十億台手機,因為很多的手機都是用了高通的晶元。
NCC Group早在去年就發現了此一漏洞,並於去年3月知會高通,高通則一直到今年4月才正式修補。
根據高通所張貼的安全公告,CVE-2018-11976屬於ECDSA簽章代碼的加密問題,將會讓存放在安全世界的私鑰外泄至一般世界。
它被高通列為重大漏洞,而且影響超過40款的高通晶元,可能波及多達數十億台的Android手機及設備。
有網友認為,高通一整年了才修復漏洞,不夠重視,你怎麼看?
※魯大師跑分33萬 P30系列綜合性能是這個水準
※2019年Q1季度內存性能排行 芝奇DDR4大獲全勝
TAG:魯大師官方 |