高通芯片又出事了,驍龍855等40多款芯片漏洞
近年智能手機不僅在出貨量上突飛猛進,同時也深入到我們生活的方方面面,手機中不僅有通訊錄、短信等資料,還有越來越重要的個人隱私以及財產信息,它們的安全與每一個人息息相關。
本文引用地址:http://www.ex-cimer.com/article/201905/400533.htm據媒體EETOP報道,英國安全業(yè)者NCC Group最新的報告(CVE-2018-11976)顯示美國高通公司有超過40款驍龍芯片存在泄密漏洞問題,具體涉及高通芯片安全執(zhí)行環(huán)境(QSEE)的橢圓曲線數碼簽章算法(ECDSA),將允許黑客推測出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。
QSEE源自于ARM的TrustZone設計,TrustZone為系統(tǒng)單芯片的安全核心,它建立了一個隔離的安全世界來供可靠軟件與機密資料使用(如用戶的指紋和臉部信息),而其它軟件則只能在一般的世界中執(zhí)行,QSEE即是高通根據TrustZone所打造的安全執(zhí)行環(huán)境。
本次的高通芯片漏洞涉及數十款的芯片,仍有多年前的IPQ8064、IPQ8074芯片,還有目前高通主力的驍龍855、驍龍845芯片等,并且還有面向PC平臺的高通驍龍850、8CX等芯片,可見相關的漏洞涉及高通的底層代碼“錯誤”。由于這次的漏洞涉及高通多代的芯片產品,同時也包括有不同的產品線,受到高通漏洞影響的終端設備可能高達數十億部。
本次漏洞涉及的高通驍龍芯片型號列表 (圖 / 網絡)
除了英國安全業(yè)者NCC Group外,我們的國家信息安全漏洞共享平臺也有公布類似的漏洞,同樣是因為高通產品中的TrustZone存在信息泄露漏洞。攻擊者可利用該漏洞盜竊用戶的個人信息。
國家信息安全漏洞共享平臺上關于高通驍龍芯片漏洞的介紹 (圖 / 網絡)
國家信息安全漏洞共享平臺上關于高通驍龍芯片漏洞的介紹 (圖 / 網絡)
不過也有網友懷疑這并非是漏洞,而是高通的刻意預留的后門。因為據消息稱這次的漏洞其實早在去年的3月份就已經向高通提交相關說明,然而直到今年4月份,高通才正式把這些漏洞解決好。一年多的處理時間到底是因為高通根本不把這些漏洞當作 一回事?還是高通研發(fā)資源緊張,不得不把資源集中到5G研發(fā),無暇顧及此次漏洞問題。
事實上,除了基于TrustZone設計的漏洞外,高通近年同樣出現過不少的漏洞,其中危害比較大的就有2016年的安卓平臺內核漏洞,當時安全研究專家在高通芯片內發(fā)現了一系列嚴重的安卓安全漏洞(稱作“Quadrooter”),黑客可以欺騙用戶安裝惡意應用,獲得相應的應用權限,能完全控制受影響的安卓設備,包括其中的數據和硬件,例如攝像頭和麥克風,可以收集用戶的個人隱私信息。而且受這些漏洞影響的安卓智能手機和平板電腦數量超過9億臺。更可怕的是,大部分受漏洞影響的Android設備可能永遠都不會被修復。
2016年曝出的安卓安全漏洞 (圖 / 網絡)
更有甚者,美國網絡安全公司FireEye在2016年曾經披露了高通芯片帶來的一個安卓漏洞,黑客借助這個漏洞可以盜竊用戶的短信、電話記錄和其它私人隱私數據。更可怕的是這些漏洞被披露時已經存在了5年時間。
雖然受到市場的壓力,高通不得不針對漏洞問題推出了“漏洞獎勵計劃”,但高通芯片依舊是漏洞的高發(fā)地,甚至可以說是漏洞的生產者。希望高通除了專注于GPU、CPU性能跑分外,還要對用戶的隱私和財產安全負責。
評論