有博主带来了 iQOO 迭代旗舰 ——iQOO 11 系列新机的配置信息
据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。
此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。
QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。
NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。
Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。
NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则一直到今年4月才正式修补。
根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。
这篇好文章是转载于:知行礼动
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 知行礼动
- 本文地址: /news/detail/tanhceikcc
-
Logitech MX Master 4的发布日期
xhjyxxw 11-12 -
qq邮箱人工客服电话95017qq邮箱人工电话是多少
xhjyxxw 12-13 -
长城M2改装系列 展示M2床车安装过程图
xhjyxxw 09-15 -
海尔消费金融客服电话是多少海尔消费金融客服电话
xhjyxxw 09-17 -
穿马扎子方法图解九孔穿马扎子方法图解
xhjyxxw 09-28 -
2的5次方是多少答案2的5次方是多少
xhjyxxw 11-17 -
简化版必到官网一键群发微信微信一键群发50群
xhjyxxw 09-15 -
huifuqqcom恢复qq群huifuqqcom恢复qq群主
xhjyxxw 09-17 -
小米电视破解版vip小米电视会员破解教程
xhjyxxw 11-17 -
一次性输液器结构图解和管内径一次性输液器结构图解
xhjyxxw 09-17