困扰高通一年的芯片漏洞终于修复,波及数十亿台安卓设备

2019-04-28 15:10:44
标签:

去年3月NCC Group公布的编号为CVE-2018-11976的高通芯片漏洞,高通已于本月正式修补。

 

据NCC Group之前报道,这一编号为CVE-2018-11976的漏洞可窃取高通芯片内所储存的机密信息,并波及采用相关芯片的Android设备。它被高通列为重大漏洞,影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。

 

根据高通的安全公告,CVE-2018-11976涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),漏洞将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥,将会让存放在安全环境的私钥外泄至一般环境。

 

 

QSEE源自于ARM的TrustZone设计,TrustZone为系统单芯片的安全核心,它建立了一个隔离的安全环境来供可靠软件与机密信息使用,而其它软件则只能在一般环境中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

 

NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境的设计,被许多移动设备与嵌入式设备广泛采用,但是就算安全环境与一般环境使用的是不同的硬件资源、软件或信息,但它们依然建立在同样的微架构上,于是他们打造了一些工具来监控QSEE的信息流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。

 

Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的信息,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。

 

不过值得庆幸的是,目前高通已经在本月对这一漏洞进行了修补。

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

继续阅读
A13 强大的背后:外观奇葩缺乏 5G,但处理器才是霸主

在一份疑似iPhone 11 Pro的Geekbench 4.4跑分成绩中,A13芯片的CPU取得了5472/13769的单核/多核分数。

外资也看好的联发科,在 5G 时代打败高通的机会来了?

与非网 9 月 16 日讯,5G时代并不会高通一家独大,未来联发科5G芯片也将拿下三成左右市占。 

日韩摩擦不断发酵,韩国已向 WTO 起诉

与非网9月14日讯,两个多月前,日本政府开始限制向韩国出口三种关键工业材料。这三种材料对芯片和显示器的生产至关重要,可能对韩国的支柱科技产业造成沉重打击。

微软总裁为华为打抱不平:要求监管机构作出解释

美国微软公司总裁兼首席法务官布拉德·史密斯日前对美国媒体说,美国政府对待华为的方式是不公正的,微软已要求美国监管机构对其行为作出解释。

高通5G基带芯片覆盖中端手机 旗舰之外另有精彩

在过去的二三十年里,移动通信技术已经为我们带来了难以想象的巨大变革。

更多资讯
英伟达6-DoF GraspNet堪称黑科技,机器人可以随意抓取物体
英伟达6-DoF GraspNet堪称黑科技,机器人可以随意抓取物体

在生态上一向强大的英伟达又进一步深入了自己在训练模型上的布局。

紫光赵伟国眼中的芯片强国是什么样的?
紫光赵伟国眼中的芯片强国是什么样的?

怎样才算半导体强国?赵伟国在接受杨澜采访时认为,中国半导体至少要有一家公司市值超过1000亿美金,收入至少有一家超过300亿美金的,3到5家超过100亿美金的,中国集成电路肯定会在全世界三分天下有其一。

华为三星主导5G设备泛用性,高通处于落后位置
华为三星主导5G设备泛用性,高通处于落后位置

华为和三星近日在柏林国际电子消费品展览会(IFA)上,轮流宣布新的移动处理器,新芯片的一大共同点是它们都集成了5G调制解调器。在一个由美国对手高通主导的市场中,华为和三星在提供解锁5G设备广泛可用性的一个关键要素上处于领先地位。

Q2 全球 OEM 存储系统市场下滑,日本猛增 20.8%?

与非网9月9日讯,根据IDC全球企业存储系统季度追踪报告显示,2019年第二季度全球企业外部OEM存储系统市场的厂商收入同比减少0.8%至63亿美元。

串口通信的优缺点解析,什么情况下适合用串口通信?
串口通信的优缺点解析,什么情况下适合用串口通信?

UART是用于控制计算机与串行设备的芯片。有一点要注意的是,它提供了数据终端设备接口,这样计算机就可以和调制解调器或其它使用RS-232C接口的串行设备通信了。