麒麟城首页 财经新闻 国际新闻 国内新闻 行业新闻 体育新闻 娱乐新闻

当前位置: 麒麟城首页 > 财经新闻 >

高通近40款芯片被曝出泄密漏洞!波及数十亿部手机

时间:2019-04-28 14:37来源:未知 作者:admin 点击: 210 次
责任编辑:孟然 声明:新浪网独家稿件,未经授权不准转载。 --> NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则不休到今年4月才正式修补。 据EETOP论坛27日报道,英

责任编辑:孟然

  声明:新浪网独家稿件,未经授权不准转载。 -->

  NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则不休到今年4月才正式修补。

  据EETOP论坛27日报道,英国安然业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android安装,高通已于本月初修补了这一在去年就得知的漏洞。

  QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安然核心,它建立了一个隔离的安然世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通按照TrustZone所打造的安然执行环境。

  NCC Group资深安然顾问Keegan Ryan指出,诸如TrustZone或QSEE等安然执行环境设计,麒麟城受到许多行动安装与嵌入式安装的广泛采用,只是就算安然世界与一般世界使用的是迥异的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安然漏洞,财经新闻成功地从高通芯片上恢复256位的加密私钥。

  来源:EETOP

  此一编号为CVE-2018-11976的漏洞,涉及高通芯片安然执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许暗客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

 

  按照高通所张贴的安然公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安然世界的私钥表泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,能够波及多达数十亿台的Android手机及设备。

  Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设暗客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可表泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。

,, (责任编辑:admin)
------分隔线----------------------------
栏目列表
推荐内容