高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

APP下载

扫一扫

下载观察者APP

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

分享到：

2019-04-28 10:40:55 字号：A- A A+ 来源：EETOP

关键字: 高通芯片泄密漏洞手机

据EETOP论坛27日报道，英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞，可用来窃取芯片内所储存的机密资讯，并波及采用相关芯片的Android装置，高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计，TrustZone为系统单晶片的安全核心，它建立了一个隔离的安全世界来供可靠软件与机密资料使用，而其它软件则只能在一般的世界中执行，QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出，诸如TrustZone或QSEE等安全执行环境设计，受到许多行动装置与嵌入式装置的广泛采用，只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料，但它们依然奠基在同样的微架构上，于是他们打造了一些工具来监控QSEE的资料流与程序流，并找出高通导入ECDSA的安全漏洞，成功地从高通芯片上恢复256位的加密私钥。

Ryan解释，大多数的ECDSA签章是在处理随机数值的乘法回圈，假设黑客能够恢复这个随机数值的少数位，就能利用既有的技术来恢复完整的私钥，他们发现有两个区域可外泄该随机数值的资讯，尽管这两个区域都含有对抗旁路攻击的机制，不过他们绕过了这些限制，找出了该数值的部份位，而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞，并于去年3月知会高通，高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告，CVE-2018-11976属于ECDSA签章代码的加密问题，将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。
标签高通芯片泄密漏洞手机
- 原标题：波及数十亿部手机！高通近40款芯片被曝出泄密漏洞！可窃取机密信息
- 责任编辑:程北墨
- 最后更新: 2019-04-28 11:11:44
- 荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚
  
  2019-04-27 23:32 手机
- 日本"隼鸟2号"在小行星击出陨石坑，系全球首次
  
  2019-04-27 16:54 日本
- 华龙一号全球首堆提前50天启动冷试
  
  2019-04-27 15:58
- 荷兰电信企业采用华为更新移动网
  
  2019-04-27 15:35
- 消费需求占全球44%，中国大陆成晶圆建厂热地
  
  2019-04-27 11:27
- 客服称P30 Pro防水必须堵上机身接口华为高管回应
  
  2019-04-27 10:26
- 华为徐直军谈5G：让行业生产效率提升10倍
  
  2019-04-27 09:38 华为
- 华为王成录：解密方舟编译器和EMUI未来演进方向
  
  2019-04-27 09:23 华为
- 全球第四位，华为过去五年研发预算增长149%
  
  2019-04-27 09:11 华为
- 收购芯片业务？苹果和英特尔进行了“秘密谈判”
  
  2019-04-27 08:10 大公司
- 苹果在香港等地召回插头适配器：用户或遭电击
  
  2019-04-26 22:00
- 倪光南：全国产固态硬盘主控将极大提高网络安全性
  
  2019-04-26 17:39
- 真的吗？华为要出千元升降摄像头手机？
  
  2019-04-26 17:28 华为
- 英特尔仍继续为新款iPhone供应4G基带芯片
  
  2019-04-26 17:03
- 日本可以失去华为吗？日本各界怎么看
  
  2019-04-26 11:35 大公司
- 新机配27W充电器却只支持18W 联想：多出的是爱
  
  2019-04-26 11:12 大公司
- 程序员热议的华为方舟编译器是啥？一图看懂
  
  2019-04-26 10:19 TMT观察
- 百度浏览器PC版部分功能停止服务
  
  2019-04-26 10:02
- “5G首战告负”，诺基亚鸭梨山大
  
  2019-04-25 19:12 5G
- 诺基亚CEO驳斥5G霸权争夺战：共赢最重要
  
  2019-04-25 15:34 5G
搜索

   观察者头条查看全部

自主装备首次测绘3000米深水地质勘探图评论 32

“IMF应作出改革，反映中国崛起等全球经济变化” 评论 124

国家航天局发布嫦娥八号国际合作机遇公告评论 123

“豪华黄金周”出境游火爆，中国游客获得“VIP待遇” 评论 147

又酝酿对中国光伏开刀？欧洲业界警告：不要重蹈覆辙评论 166

   风闻 · 24小时最热查看全部

   最新视频查看全部
最新闻 Hot
快讯

高通近40款芯片被曝出泄密漏洞！波及数十亿部手机

荣耀赵明：谁的行为low，谁在碰瓷，消费者都看得清清楚楚

日本"隼鸟2号"在小行星击出陨石坑，系全球首次

华龙一号全球首堆提前50天启动冷试

荷兰电信企业采用华为更新移动网

消费需求占全球44%，中国大陆成晶圆建厂热地

客服称P30 Pro防水必须堵上机身接口华为高管回应

华为徐直军谈5G：让行业生产效率提升10倍

华为王成录：解密方舟编译器和EMUI未来演进方向

全球第四位，华为过去五年研发预算增长149%

收购芯片业务？苹果和英特尔进行了“秘密谈判”

苹果在香港等地召回插头适配器：用户或遭电击

倪光南：全国产固态硬盘主控将极大提高网络安全性

真的吗？华为要出千元升降摄像头手机？

英特尔仍继续为新款iPhone供应4G基带芯片

日本可以失去华为吗？日本各界怎么看

新机配27W充电器却只支持18W 联想：多出的是爱

程序员热议的华为方舟编译器是啥？一图看懂

百度浏览器PC版部分功能停止服务

“5G首战告负”，诺基亚鸭梨山大

诺基亚CEO驳斥5G霸权争夺战：共赢最重要

“IMF应作出改革，反映中国崛起等全球经济变化”

“印度要求加拿大，限期撤回2/3外交官”

马斯克发了个表情包，又激怒了乌克兰

欧盟外长会首次在乌克兰举行，波兰外长：不去

特朗普在纽约出庭，美最高法院表态

共和党议员提交罢免动议，他悬了？

国家航天局发布嫦娥八号国际合作机遇公告

“豪华黄金周”出境游火爆，中国游客获得“VIP待遇”

又酝酿对中国光伏开刀？欧洲业界警告：不要重蹈覆辙

得知美国“援乌预算”被搁置，乌克兰连忙降温：我们理解

胜选后他明确表态：停止对乌军援，我们的人民正面临更严峻问题

佐科宣布：正式启用！

“没有中国参与，解决方案难以想象”

埃尔多安怒了：再也不指望他们

美参议员强行加戏：这样做等同于对台湾宣判死刑

iPhone 15热到不能碰？苹果回应