linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux基础建设 >

高通近40款芯片被曝出泄密漏洞!波及数十亿部手机

时间:2019-04-30  来源:未知  作者:admin666

据EETOP论坛27日报道,英国安金星棋牌全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。

Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。

稿源:EETOP

友情链接
  • Rancher推出了第一款Kubernetes操作系统k3OS
  • Kotlin v1.3.31发布,基于JVM的编程语言
  • Wine 4.7 更新,Mono引擎及更多
  • RenderDoc 1.3 发布,受欢迎的图形调试器
  • GitLab 11.10 发布,增强的操作仪表板
  • Wine
  • GNOME 3.33.1发布,GNOME 3.34 桌面环境开发第一个快照
  • 韦诺之战 Battle For Wesnoth 1.14.7/1.14.8 发布,Ubuntu下安装
  • Fedora 32可能删除Python 2及其软件包
  • OpenAI推出MuseNet:一种用于生成音乐作品的深层神经网络
  • KernelShark 1.0 即将发布,用于可视化“Trace
  • 清华大学与中科大相继停止 Anaconda 镜像服务
  • 用于Apache Spark 预览版的.NET现已推出
  • Fedora考虑使用基于VESA的FBDEV驱动程序,取代旧的VESA和OpenChr
  • Rails 6.0.0 RC1发布,多数据库支持
  • GCC 9.1
  • Electron 5.0 发布,附带了新版本的Chromium,V8和Node.js
  • Linux 5.2内核引入通用计数器接口
  • 由于一些遗留的bug阻塞,Fedora 30 是否延迟发布还未知
  • Fedora 30 将于下周二发布
  • GCC 9.1
  • 流媒体应用程序Mobdro窃取用户Wi
  • Google Chrome 74 正式发布,但对Linux用户来说并不令人兴奋
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • MESA 19.1公开EXT
  • Intel Iris Gallium3D为Mesa 19.1提供更多的游戏性能优化
  • 为什么这么多用户已经将Google Chrome替换为新的Microsoft Edge
  • MongoDB将以3900万美元收购移动数据库管理系统Realm
  • NVIDIA 430.09 Linux驱动发布,带来GTX 1650支持
  • 微软发布适用于Windows 10的4K壁纸包
  • Rust分享2019年的路线图
  • GNU Shepherd 0.6 发布,增加一次性服务
  • 随着三星最新的DeX更新,更多的手机可以使用Linux
  • Fedora将支持MPEG
  • QEMU 4.0 发布,更快的加密与CPU支持的改进
  • Google正在Android Q Beta 2中测试新的滑动手势
  • OS108
  • Svelte 3 稳定版发布,Cyber??netically增强型网络应用程序
  • Ant Design 3.16.5 发布,企业级UI设计语言
  • NVIDIA为Nsight Systems增加Vulkan支持
  • Node.js 12 Current版发布,使用V8 JavaScript引擎
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • Linux 5.1遇到了针对Intel和VirtIO DRM驱动程序的“特殊回归”
  • Kodi 19 M的代号揭晓
  • Scientific Linux 6/7 将继续得到支持,但分发工作正在结束
  • 福彩3d乐彩论坛
  • 澳门百家乐
  • 天吉彩票论坛
  • 香港自由论坛
  • 澳门银河