高通芯片又出事了,驍龍855等40多款芯片漏洞
近年智能手機(jī)不僅在出貨量上突飛猛進(jìn),同時(shí)也深入到我們生活的方方面面,手機(jī)中不僅有通訊錄、短信等資料,還有越來越重要的個(gè)人隱私以及財(cái)產(chǎn)信息,它們的安全與每一個(gè)人息息相關(guān)。
本文引用地址:http://2s4d.com/article/201905/400533.htm據(jù)媒體EETOP報(bào)道,英國安全業(yè)者NCC Group最新的報(bào)告(CVE-2018-11976)顯示美國高通公司有超過40款驍龍芯片存在泄密漏洞問題,具體涉及高通芯片安全執(zhí)行環(huán)境(QSEE)的橢圓曲線數(shù)碼簽章算法(ECDSA),將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。
美國高通公司的驍龍芯片 (圖 / 網(wǎng)絡(luò))
QSEE源自于ARM的TrustZone設(shè)計(jì),TrustZone為系統(tǒng)單芯片的安全核心,它建立了一個(gè)隔離的安全世界來供可靠軟件與機(jī)密資料使用(如用戶的指紋和臉部信息),而其它軟件則只能在一般的世界中執(zhí)行,QSEE即是高通根據(jù)TrustZone所打造的安全執(zhí)行環(huán)境。
本次的高通芯片漏洞涉及數(shù)十款的芯片,仍有多年前的IPQ8064、IPQ8074芯片,還有目前高通主力的驍龍855、驍龍845芯片等,并且還有面向PC平臺的高通驍龍850、8CX等芯片,可見相關(guān)的漏洞涉及高通的底層代碼“錯(cuò)誤”。由于這次的漏洞涉及高通多代的芯片產(chǎn)品,同時(shí)也包括有不同的產(chǎn)品線,受到高通漏洞影響的終端設(shè)備可能高達(dá)數(shù)十億部。
本次漏洞涉及的高通驍龍芯片型號列表 (圖 / 網(wǎng)絡(luò))
除了英國安全業(yè)者NCC Group外,我們的國家信息安全漏洞共享平臺也有公布類似的漏洞,同樣是因?yàn)楦咄óa(chǎn)品中的TrustZone存在信息泄露漏洞。攻擊者可利用該漏洞盜竊用戶的個(gè)人信息。
國家信息安全漏洞共享平臺上關(guān)于高通驍龍芯片漏洞的介紹 (圖 / 網(wǎng)絡(luò))
國家信息安全漏洞共享平臺上關(guān)于高通驍龍芯片漏洞的介紹 (圖 / 網(wǎng)絡(luò))
不過也有網(wǎng)友懷疑這并非是漏洞,而是高通的刻意預(yù)留的后門。因?yàn)閾?jù)消息稱這次的漏洞其實(shí)早在去年的3月份就已經(jīng)向高通提交相關(guān)說明,然而直到今年4月份,高通才正式把這些漏洞解決好。一年多的處理時(shí)間到底是因?yàn)楦咄ǜ静话堰@些漏洞當(dāng)作 一回事?還是高通研發(fā)資源緊張,不得不把資源集中到5G研發(fā),無暇顧及此次漏洞問題。
事實(shí)上,除了基于TrustZone設(shè)計(jì)的漏洞外,高通近年同樣出現(xiàn)過不少的漏洞,其中危害比較大的就有2016年的安卓平臺內(nèi)核漏洞,當(dāng)時(shí)安全研究專家在高通芯片內(nèi)發(fā)現(xiàn)了一系列嚴(yán)重的安卓安全漏洞(稱作“Quadrooter”),黑客可以欺騙用戶安裝惡意應(yīng)用,獲得相應(yīng)的應(yīng)用權(quán)限,能完全控制受影響的安卓設(shè)備,包括其中的數(shù)據(jù)和硬件,例如攝像頭和麥克風(fēng),可以收集用戶的個(gè)人隱私信息。而且受這些漏洞影響的安卓智能手機(jī)和平板電腦數(shù)量超過9億臺。更可怕的是,大部分受漏洞影響的Android設(shè)備可能永遠(yuǎn)都不會被修復(fù)。
2016年曝出的安卓安全漏洞 (圖 / 網(wǎng)絡(luò))
更有甚者,美國網(wǎng)絡(luò)安全公司FireEye在2016年曾經(jīng)披露了高通芯片帶來的一個(gè)安卓漏洞,黑客借助這個(gè)漏洞可以盜竊用戶的短信、電話記錄和其它私人隱私數(shù)據(jù)。更可怕的是這些漏洞被披露時(shí)已經(jīng)存在了5年時(shí)間。
雖然受到市場的壓力,高通不得不針對漏洞問題推出了“漏洞獎勵計(jì)劃”,但高通芯片依舊是漏洞的高發(fā)地,甚至可以說是漏洞的生產(chǎn)者。希望高通除了專注于GPU、CPU性能跑分外,還要對用戶的隱私和財(cái)產(chǎn)安全負(fù)責(zé)。
評論