高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

APP下载

扫一扫

下载观察者APP

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

分享到：

2019-04-28 10:40:55 字号：A- A A+ 来源：EETOP

关键字: 高通芯片泄密漏洞手机

据EETOP论坛27日报道，英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞，可用来窃取芯片内所储存的机密资讯，并波及采用相关芯片的Android装置，高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计，TrustZone为系统单晶片的安全核心，它建立了一个隔离的安全世界来供可靠软件与机密资料使用，而其它软件则只能在一般的世界中执行，QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出，诸如TrustZone或QSEE等安全执行环境设计，受到许多行动装置与嵌入式装置的广泛采用，只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料，但它们依然奠基在同样的微架构上，于是他们打造了一些工具来监控QSEE的资料流与程序流，并找出高通导入ECDSA的安全漏洞，成功地从高通芯片上恢复256位的加密私钥。

Ryan解释，大多数的ECDSA签章是在处理随机数值的乘法回圈，假设黑客能够恢复这个随机数值的少数位，就能利用既有的技术来恢复完整的私钥，他们发现有两个区域可外泄该随机数值的资讯，尽管这两个区域都含有对抗旁路攻击的机制，不过他们绕过了这些限制，找出了该数值的部份位，而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞，并于去年3月知会高通，高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告，CVE-2018-11976属于ECDSA签章代码的加密问题，将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。
标签高通芯片泄密漏洞手机
- 原标题：波及数十亿部手机！高通近40款芯片被曝出泄密漏洞！可窃取机密信息
- 责任编辑:程北墨
- 最后更新: 2019-04-28 11:11:44
- 荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚
  
  2019-04-27 23:32 手机
- 日本"隼鸟2号"在小行星击出陨石坑，系全球首次
  
  2019-04-27 16:54 日本
- 华龙一号全球首堆提前50天启动冷试
  
  2019-04-27 15:58
- 荷兰电信企业采用华为更新移动网
  
  2019-04-27 15:35
- 消费需求占全球44%，中国大陆成晶圆建厂热地
  
  2019-04-27 11:27
- 客服称P30 Pro防水必须堵上机身接口华为高管回应
  
  2019-04-27 10:26
- 华为徐直军谈5G：让行业生产效率提升10倍
  
  2019-04-27 09:38 华为
- 华为王成录：解密方舟编译器和EMUI未来演进方向
  
  2019-04-27 09:23 华为
- 全球第四位，华为过去五年研发预算增长149%
  
  2019-04-27 09:11 华为
- 收购芯片业务？苹果和英特尔进行了“秘密谈判”
  
  2019-04-27 08:10 大公司
- 苹果在香港等地召回插头适配器：用户或遭电击
  
  2019-04-26 22:00
- 倪光南：全国产固态硬盘主控将极大提高网络安全性
  
  2019-04-26 17:39
- 真的吗？华为要出千元升降摄像头手机？
  
  2019-04-26 17:28 华为
- 英特尔仍继续为新款iPhone供应4G基带芯片
  
  2019-04-26 17:03
- 日本可以失去华为吗？日本各界怎么看
  
  2019-04-26 11:35 大公司
- 新机配27W充电器却只支持18W 联想：多出的是爱
  
  2019-04-26 11:12 大公司
- 程序员热议的华为方舟编译器是啥？一图看懂
  
  2019-04-26 10:19 TMT观察
- 百度浏览器PC版部分功能停止服务
  
  2019-04-26 10:02
- “5G首战告负”，诺基亚鸭梨山大
  
  2019-04-25 19:12 5G
- 诺基亚CEO驳斥5G霸权争夺战：共赢最重要
  
  2019-04-25 15:34 5G
搜索

   观察者头条查看全部

“不认中国临床数据，行不通的” 评论 7

“下一个要退的是哈萨克斯坦？” 评论 42

航油告急，全球慌神！中国科学家提出解决方案评论 192

“挡不住！中国车兵临美墨边境，美国车企夜不能寐” 评论 117

美国向联合国开条件：要我的，就不能要中国的评论 235

   风闻 · 24小时最热查看全部

   最新视频查看全部
最新闻 Hot
快讯

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚

日本"隼鸟2号"在小行星击出陨石坑，系全球首次

华龙一号全球首堆提前50天启动冷试

荷兰电信企业采用华为更新移动网

消费需求占全球44%，中国大陆成晶圆建厂热地

客服称P30 Pro防水必须堵上机身接口华为高管回应

华为徐直军谈5G：让行业生产效率提升10倍

华为王成录：解密方舟编译器和EMUI未来演进方向

全球第四位，华为过去五年研发预算增长149%

收购芯片业务？苹果和英特尔进行了“秘密谈判”

苹果在香港等地召回插头适配器：用户或遭电击

倪光南：全国产固态硬盘主控将极大提高网络安全性

真的吗？华为要出千元升降摄像头手机？

英特尔仍继续为新款iPhone供应4G基带芯片

日本可以失去华为吗？日本各界怎么看

新机配27W充电器却只支持18W 联想：多出的是爱

程序员热议的华为方舟编译器是啥？一图看懂

百度浏览器PC版部分功能停止服务

“5G首战告负”，诺基亚鸭梨山大

诺基亚CEO驳斥5G霸权争夺战：共赢最重要

英国唱反调：不认中国临床数据，行不通的

“日本站错队了，应该联中抗美”

“若罪名成立，终身不得参政”

“下一个要退的是哈萨克斯坦？”

又一非洲国家拒绝美国

不到一年，她撂挑子不干了

日企又演上了，“买太多中国货救急，不安”

特朗普发了张图，威胁伊朗“放聪明点”

竞争不过又丢脸到别国，“无力阻止中企中标欧盟资助项目”

新西兰要立“慰安妇”雕像，被日本拦下

航油告急，全球慌神！中国科学家提出解决方案

英王调侃特朗普：早在1814年，我们就曾尝试对白宫搞“房产改造”

“尬出天际”，特朗普当着英国国王面开和梅拉尼娅的夫妻玩笑

欧盟又内讧，最高贸易官员不干了

申请全被否，不让斯洛伐克总理飞去莫斯科

美共和党高层罕见唱反调：1.5万亿，说说看怎么花？