高通近40款芯片被曝出泄密漏洞!波及数十亿部手机
据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。
此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。
QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。
NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。
Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。
NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则一直到今年4月才正式修补。
根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。
稿源:EETOP
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Docker Hub 遭入侵,19 万帐号被泄露
美国当地时间周五晚上,有开发者表示收到来自 Docker 的官方邮件,邮件内容显示由于 Docker Hub 遭受非法入侵,已导致 19 万个帐号的敏感数据被泄露,这些数据包括小部分用户的用户名和哈希密码,以及用于自动构建 Docker 镜像而授权给 Docker Hub 的 GitHub 和 Bitbucket token。 Docker Hub 是 Docker 容器镜像的官方存储库,提供给 Docker 开发者用于上传/下载容器镜像。 Docker 方面表示,发现漏洞后已立即采取干预措施来保护数据,并尽力降低对用户造成的影响。 按照 Docker 的官方说法,在黑客入侵 Docker Hub 后的短时间内就发现了问题,不过仍有 19 万个帐号的数据已遭泄露,大约是总用户数的 5%。 Docker 发现问题后立即向用户告知了这一消息,并通知用户重置密码(包括使用其他使用相同用户名和密码的平台)。 此外,对于使用了自动构建服务并可能受影响的用户,Docker 已撤销他们的 GitHub token 和访问密钥,并提醒他们重新连接到存储库,然后检查安全和登录日志以查看是否发生了任何异常...
- 下一篇
谷歌侵权甲骨文 Java 版权案难裁决,已征求特朗普政府意见
谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权的侵犯(非法使用了 37 个 Java API 用于 Android 操作系统)。 甲骨文最初于 2010 年起诉谷歌,一度在该案中寻求来自谷歌高达 90 亿美元的侵权损害赔偿。 不过直到现在该案仍没最终的裁决结果,因为对「API 是否受版权保护」的裁决将会对软件行业产生深远的影响。 而据路透社报道,美国最高法院今日已向特朗普政府就“谷歌要求最高法院对与甲骨文之间的版权纠纷案(copyright dispute)进行 review”这一请求征求意见。 事件回顾 2010年,甲骨文以 74 亿美元收购了 Sun(Sun 于 1995 年开发了 Java),然后在不到8个月的时间里便起诉谷歌侵犯了关于 Java 语言的版权,索赔 88 亿美元。 甲骨文认为谷歌用于Android 系统的 37 个 package 中的 Java API 是对 Oracle JDK 的侵权。37 个 package 如下:...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS关闭SELinux安全模块
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路