信息安全一直都是如今業界和人們最為關心的問題,而作為如今智能手機大都使用的高通芯片,其出現的漏洞更是影響極大。在去年3月份,NCC Group公佈了高通芯片中被編號為CVE-2018-11976的漏洞,毫無疑問,這是一個很大的潛在危機。
但近日,有消息傳來,稱目前高通已經修復了這一漏洞,這無疑是一個極好的消息。
編號為CVE-2018-11976的漏洞實在是一個不可小看的主,據NCC Group之前稱,這款漏洞可以竊取高通芯片內部所存儲的機密信息,而含有CVE-2018-11976漏洞的高通芯片超過40多款,甚至還會影響到高通芯片搭載的Android 電子設備,也因此,這款漏洞被高通列為自己最大的漏洞。
更為詳細的的說,這漏洞主要涉及高通芯片的安全執行環境(QSEE)的橢圓曲線數碼簽章算法(ECDSA)。黑客可以很容易的通過這款漏洞推算出位於QSEE,藉助ECDSA加密的金匙(擁有224位和256位),並將原本放置於安全環境的私人密碼向外洩露到一般環境中,從而使用戶個人信息大面積洩露。
根據高通芯片自身的“弱點”QSEE、ECDSA來修復這一漏洞。
QSEE源自ARM的TrustZone設計,同時也是高通根據TrustZone而建造的安全執行環境。而TrustZone是系統單芯片的安全核心,有別於其他的軟件,它可以為可靠軟件和機密信息建立了一個隔離的安全環境。
NCC Group資深安全顧問Keegan Ryan也提出,TrustZone 或QSEE等安全執行環境的設計相比於其他安全環境具有自己的獨特優勢,但是它們依然與其它安全環境一樣建立在微架構上。於是他們的團隊打造了一些工具來監控QSEE的信息流和程序流,並藉此他們的團隊找到了高通導入的ECDSA的安全漏洞,成功恢復了高通芯片上的256位的加密私鑰。
對於這次的修復,Ryan解釋道,如今大多數的ECDSA是在處理隨機數值的乘法迴圈,而黑客如果能夠恢復這隨機數值的少位數,就能利用現有技術恢復私鑰。而同時Ryan團隊順應這思路,發現有兩個區域會外洩隨機數值,最終他們找出該數值的部分位,並恢復了Nexus 5X手機上的256位私鑰。
而且據相關消息稱,高通目前已經修復了40多款高通芯片,如此看來,高通芯片方面的信息安全有保障了。
閱讀更多 互聯網深科技 的文章
