财神彩票 > 技术支持 > 高通QSEE漏洞影响六成采用了该公司安全平台的

原标题:高通QSEE漏洞影响六成采用了该公司安全平台的

浏览次数:80 时间:2020-04-22

Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区提权漏洞,其影响到六成采用了高通安全平台的Android设备。四个月后,一名安全人员解释了这个“高通安全执行环境”漏洞是如何被用来攻破Android设备的。Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分,负责处理最重要和敏感的操作。

近年智能手机不仅在出货量上突飞猛进,同时也深入到我们生活的方方面面,手机中不仅有通讯录、短信等资料,还有越来越重要的个人隐私以及财产信息,它们的安全与每一个人息息相关。

财神彩票 1

财神彩票,据媒体EETOP报道,英国安全业者NCC Group最新的报告(CVE-2018-11976)显示美国高通公司有超过40款骁龙芯片存在泄密漏洞问题,具体涉及高通芯片安全执行环境的椭圆曲线数码签章算法,将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

财神彩票 2

安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中发现了该漏洞,其被用于搭载了高通芯片的Android智能机上。

美国高通公司的骁龙芯片

Beniamini表示,其本身是“无害”的,但如果攻击者将它与另一个漏洞“串联”起来,就可以提取到高通TrustZone的权限。

QSEE源自于ARM的TrustZone设计,TrustZone为系统单芯片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用(如用户的指纹和脸部信息),而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

在这之后,任何Android媒体服务组件都可以被它所利用。(所幸的是,Google已在Android N中拆分了mediaserver,以消除Stagefright高危漏洞的影响)

本次的高通芯片漏洞涉及数十款的芯片,仍有多年前的IPQ8064、IPQ8074芯片,还有目前高通主力的骁龙855、骁龙845芯片等,并且还有面向PC平台的高通骁龙850、8CX等芯片,可见相关的漏洞涉及高通的底层代码“错误”。由于这次的漏洞涉及高通多代的芯片产品,同时也包括有不同的产品线,受到高通漏洞影响的终端设备可能高达数十亿部。

攻击者只需精心打造一个包含了上述俩漏洞的应用,然后诱骗用户去安装它。得逞之后,即可完全控制受害设备。

财神彩票 3

财神彩票 4

本次漏洞涉及的高通骁龙芯片型号列表

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

除了英国安全业者NCC Group外,我们的国家信息安全漏洞共享平台也有公布类似的漏洞,同样是因为高通产品中的TrustZone存在信息泄露漏洞。攻击者可利用该漏洞盗窃用户的个人信息。

根据移动安全企业Duo从50万Android手机上收集到的遥测数据,当前采用了高通芯片的Android设备占到了六成,它们运行着受影响的Android版本。

财神彩票 5

本文由财神彩票发布于技术支持,转载请注明出处:高通QSEE漏洞影响六成采用了该公司安全平台的

关键词:

上一篇:英伟达展示黑科技:屏幕刷新率1700帧 计划用于

下一篇:没有了