• 信息服务

  • 政策信息
  • 行业资讯
  • 环境保护
  • 投融资服务

  • 融资投资
  • 创业服务

  • 创业技巧
  • 创业辅导
  • 劳动保障
  • 企业办事
  • 人才培训

  • 人才资讯
  • 面试指南
  • 招聘会
  • 职业规划
  • 职场故事
  • 培训服务
  • 企 业 家
  • 技术创新

  • 信 息 化
  • 新兴产业
  • 企业创新
  • 科技成果
  • WTO与企业
  • 管理咨询

  • 信用体系
  • 认证认可
  • 质量管理
  • 市场开拓

  • 产业结构
  • 投资合作
  • 项目合作
  • 法律服务

  • 合同范本
  • 案例分析
  • 常见问题
  • 法律援助
  • 曝高通数十款芯片存安全漏洞 影响数十亿部手机

    发布时间:2019-05-07    来源:太平洋电脑网    浏览量:0

      [PConline 资讯]如今,靠‘一部手机走天下’已不是遥不可及的梦想,手机支付、订机酒、社交、通讯、娱乐等等,全不在话下。能够实现的功能多了,对手机的安全性也就要求更高。

      但就在近日,英国安全业者NCC Group公布了一个藏匿在近40款高通芯片的旁路漏洞,可窃取芯片内所储存的机密资讯,并影响到采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的安全漏洞。

       据了解,该漏洞编号为CVE-2018-11976,涉及高通芯片安全执行环境(QSEE)的椭圆曲线数码签章算法(ECDSA),其将允许黑客推测出存放在QSEE中,以ECDSA加密的224位与256位的金钥。

       这里所说的QSEE,源自ARM的TrustZone设计,是系统单晶片的安全核心,它建立了一个隔离的安全区域供可靠软件与机密资料使用,而其它软件则只能在一般区域内执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

       对此,NCC Group的资深安全顾问Keegan Ryan表示:“像TrustZone或QSEE等安全执行环境设计,受到许多行动装置和嵌入式装置的大量采用,就算安全区域与一般区域使用的是不同的硬件资源、软件或资料,但它们依然基于相同的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。”

       “大多数的ECDSA签章是在处理随机数值的乘法回圈,假如黑客能够恢复这个随机数值的少数位,就能利用现有技术恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,然而他们绕过了这些限制并找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。”

       实际上,NCC Group早在去年就发现了这个漏洞,并于同年3月告知了高通,高通方面则一直到今年4月才正式修补。根据高通所张贴的安全公告显示,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全区域的私钥外泄至一般区域,并被高通列为重大漏洞,且影响了超过40款高通芯片,或涉及多达数十亿台Android手机及硬件设备。


    新闻搜索

    本网站是服务于中国中小企业的政府公益性网站,因部分信息来源于网络,如有侵权请来邮、来电告知,本站将立即改正。

    指导单位: 和记官方网站工业和信息化厅

    承办单位: 河南中小在线信息服务有限公司 豫ICP备17042489号

    联系方式:0371-65749597 电子邮箱:65749597@163.com

    豫公网安备 41010702002434号