当智能手机发展成为个人隐私和信息财产的重要载体,如何保证这款最常用智能设备的安全,便成为广大用户最为关心的问题。然而,虽然手机厂商都声称自家的产品有多么多么的安全,但类似信息泄密的不安全事件依然时有发生。
据ETTOP消息,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的数十亿台Android装置。据悉,这是一个编号为CVE-2018-11976的漏洞,该漏洞允许黑客通过椭圆曲线数码签章算法推测出QSEE(高通芯片安全执行环境)中以ECDSA加密的224位与256位的金钥。
QSEE源自于ARM的TrustZone设计,主要用于建立一个隔离的安全世界以供软件和机密资料运行。正常情况下,开发并利用 TrustZone 技术的设备提供了能够支持完全可信执行环境 (TEE) 以及安全感知应用程序和安全服务的平台。然而,由于 ECDSA 签章其实是在处理随机数值的乘法回圈,一旦黑客反向恢复这个随机数值,就可以通过既有技术复原完整私钥。
NCC Group资深安全顾问Keegan Ryan指出,即便是安全世界与一般世界使用的是不同的硬件资源、软件或资料,但由于两者是基于同样的微架构之上,所以依然可以通过一定的技术手段成功的从高通芯片上恢复256位加密钥匙。
事实上,早在去年的时候,NCC Group就已经发现了这一漏洞,并于当年3月将这一漏洞告知给高通,但不知何故直到今年4月高通才正式修补了这一漏洞。然根据高通所张贴的安全公告来看,这个被高通列为“重大漏洞”的漏洞问题应该还不小。
遗憾的是,目前为止并不清楚这些漏洞都隐匿在高通的哪些芯片当中,其涉及的数十亿台Android装置具体都包含哪些机型。