高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

APP下载

扫一扫

下载观察者APP

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

分享到：

2019-04-28 10:40:55 字号：A- A A+ 来源：EETOP

关键字: 高通芯片泄密漏洞手机

据EETOP论坛27日报道，英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞，可用来窃取芯片内所储存的机密资讯，并波及采用相关芯片的Android装置，高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计，TrustZone为系统单晶片的安全核心，它建立了一个隔离的安全世界来供可靠软件与机密资料使用，而其它软件则只能在一般的世界中执行，QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出，诸如TrustZone或QSEE等安全执行环境设计，受到许多行动装置与嵌入式装置的广泛采用，只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料，但它们依然奠基在同样的微架构上，于是他们打造了一些工具来监控QSEE的资料流与程序流，并找出高通导入ECDSA的安全漏洞，成功地从高通芯片上恢复256位的加密私钥。

Ryan解释，大多数的ECDSA签章是在处理随机数值的乘法回圈，假设黑客能够恢复这个随机数值的少数位，就能利用既有的技术来恢复完整的私钥，他们发现有两个区域可外泄该随机数值的资讯，尽管这两个区域都含有对抗旁路攻击的机制，不过他们绕过了这些限制，找出了该数值的部份位，而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞，并于去年3月知会高通，高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告，CVE-2018-11976属于ECDSA签章代码的加密问题，将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。
标签高通芯片泄密漏洞手机
- 原标题：波及数十亿部手机！高通近40款芯片被曝出泄密漏洞！可窃取机密信息
- 责任编辑:程北墨
- 最后更新: 2019-04-28 11:11:44
- 荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚
  
  2019-04-27 23:32 手机
- 日本"隼鸟2号"在小行星击出陨石坑，系全球首次
  
  2019-04-27 16:54 日本
- 华龙一号全球首堆提前50天启动冷试
  
  2019-04-27 15:58
- 荷兰电信企业采用华为更新移动网
  
  2019-04-27 15:35
- 消费需求占全球44%，中国大陆成晶圆建厂热地
  
  2019-04-27 11:27
- 客服称P30 Pro防水必须堵上机身接口华为高管回应
  
  2019-04-27 10:26
- 华为徐直军谈5G：让行业生产效率提升10倍
  
  2019-04-27 09:38 华为
- 华为王成录：解密方舟编译器和EMUI未来演进方向
  
  2019-04-27 09:23 华为
- 全球第四位，华为过去五年研发预算增长149%
  
  2019-04-27 09:11 华为
- 收购芯片业务？苹果和英特尔进行了“秘密谈判”
  
  2019-04-27 08:10 大公司
- 苹果在香港等地召回插头适配器：用户或遭电击
  
  2019-04-26 22:00
- 倪光南：全国产固态硬盘主控将极大提高网络安全性
  
  2019-04-26 17:39
- 真的吗？华为要出千元升降摄像头手机？
  
  2019-04-26 17:28 华为
- 英特尔仍继续为新款iPhone供应4G基带芯片
  
  2019-04-26 17:03
- 日本可以失去华为吗？日本各界怎么看
  
  2019-04-26 11:35 大公司
- 新机配27W充电器却只支持18W 联想：多出的是爱
  
  2019-04-26 11:12 大公司
- 程序员热议的华为方舟编译器是啥？一图看懂
  
  2019-04-26 10:19 TMT观察
- 百度浏览器PC版部分功能停止服务
  
  2019-04-26 10:02
- “5G首战告负”，诺基亚鸭梨山大
  
  2019-04-25 19:12 5G
- 诺基亚CEO驳斥5G霸权争夺战：共赢最重要
  
  2019-04-25 15:34 5G
搜索

   观察者头条查看全部

斯塔默表态：“从黄金时代坠入冰河时代”，不能再这样评论 28

楼市分化、利率走低，中国居民财富会流向哪里？评论 149

万斯当面警告韩国总理：美方要看到实质性降温评论 78

“日本官员劝渔民：不要去，会惹怒中国” 评论 118

后院起火？“特朗普拿韩国开刀，为自己解围” 评论 51

   风闻 · 24小时最热查看全部

   最新视频查看全部
最新闻 Hot
快讯

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚

日本"隼鸟2号"在小行星击出陨石坑，系全球首次

华龙一号全球首堆提前50天启动冷试

荷兰电信企业采用华为更新移动网

消费需求占全球44%，中国大陆成晶圆建厂热地

客服称P30 Pro防水必须堵上机身接口华为高管回应

华为徐直军谈5G：让行业生产效率提升10倍

华为王成录：解密方舟编译器和EMUI未来演进方向

全球第四位，华为过去五年研发预算增长149%

收购芯片业务？苹果和英特尔进行了“秘密谈判”

苹果在香港等地召回插头适配器：用户或遭电击

倪光南：全国产固态硬盘主控将极大提高网络安全性

真的吗？华为要出千元升降摄像头手机？

英特尔仍继续为新款iPhone供应4G基带芯片

日本可以失去华为吗？日本各界怎么看

新机配27W充电器却只支持18W 联想：多出的是爱

程序员热议的华为方舟编译器是啥？一图看懂

百度浏览器PC版部分功能停止服务

“5G首战告负”，诺基亚鸭梨山大

诺基亚CEO驳斥5G霸权争夺战：共赢最重要

他太“舔”了，“这正在掏空北约”

阿富汗永久禁止女性上学？实际情况是......

斯塔默表态：“从黄金时代坠入冰河时代”，不能再这样

“不欢迎‘杀人民兵’，就不能对特朗普说一次‘不’吗？”

万斯当面警告韩国总理：美方要看到实质性降温

特朗普又干涉：他不能再当伊拉克总理

特朗普说美元下跌“极佳”，然后美元跌至4年来新低

中国买完美国大豆，便转向巴西

加州唱反调，“加拿大进口中国电车，一整个期待住了”

沙特阿联酋“亮红灯”，美国想动手更难了

“日本官员劝渔民：不要去，会惹怒中国”

通用汽车酸：加拿大买中国车，好危险

拜登猛批：街头枪杀公民，我们是这样的国家？

黄仁勋现身深圳吃牛肉火锅，消费800余元

英国最大电力供应商：买中国的，能省3成

刚签完，他掏出一张卡：我自豪