高通致命漏洞曝光 波及数十亿安卓设备
老牌代码安全审计机构ncc group公布了40款内含旁路漏洞的高通芯片。
据悉,该漏洞允许攻击者窃取芯片内存储的机密讯息,漏洞或波及采用相关芯片的数十亿台android设备。
这是一个编号为cve-2018-11976的漏洞。ncc group在去年3月发现并第一时间通知了高通。
ncc group资深安全顾问keegan ryan称,该漏洞允许黑客通过椭圆曲线数码签章算法推测出qsee(高通芯片安全执行环境)中以ecdsa加密的224位与256位的金钥。
qsee源自armtrustzone,该技术与cortex?-a处理器紧密集成,并通过amba?axi总线和特定的trustzone系统ip块在系统中进行扩展。
此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设,从而可确保它们免遭软件攻击。
正常来说,按照trustzone ready program建议开发并利用trustzone技术的设备提供了能够支持完全可信执行环境(tee)以及安全感知应用程序和安全服务的平台。
但是,ryan认为ecdsa签章其实是在处理随机数值的乘法回圈,一旦黑客反向恢复这个随机数值,就可以通过既有技术复原完整私钥。
实际上,ryan证明了有两个区域极易泄露这些随机数值的少数位,并且还绕过了这两个区域的对抗旁路攻击机制,成功恢复了nexus5x手机上所存放的256位私钥。
高通安全公告显示,cve-2018-11976被高通列为重大漏洞,其可能影响40款高通芯片,涉及android手机及其他产品多达数十亿台。
据悉,直到今年4月高通才正式修复了这一漏洞。
朗迅科技承担国家重点研发计划“战略性先进电子材料”重点专项
英特尔的 NUC 项目现正式引入笔记本电脑产品
vivo X27采用零界全面屏和无孔设计实现了真正的无边缘
INDEMIND:2023,服务机器人能否“狂飙”?
卓越画质触手可及,中科创达Falcon画质解决方案正式发布
高通致命漏洞曝光 波及数十亿安卓设备
火星首个开源Linux系统以及飞行软件框架F Prime
Linux中如何使用Docker安装MySQL
国芯思辰|对标C4D40120D,1200V SiC肖特基二极管B2D40120HC1让车载充电机更高效
MSP-300-070-B-W-1压力传感器用于轮胎气密性试验系统
RER-USB100W-BX主要应用及规格介绍
支持低代码开发和远程真机,DevEco Studio 2.2 Beta1来啦
沪士电子国内领先的通讯板企业,业绩拐点显现
凌力尔特发表LTC559x系列高动态范围双组下变频混频器
美国联邦航空管理局正在要求波音737NG飞机扩大检查范围
专为中小企业定制 ThinkPad R480助力企业快速发展
中国自研激光雷达 量产交付大交通
Redmi K20颜值爆表 4000mAh大电池和第7代屏幕指纹识别
易云系统云组态的优势特点
24
据悉,该漏洞允许攻击者窃取芯片内存储的机密讯息,漏洞或波及采用相关芯片的数十亿台android设备。
这是一个编号为cve-2018-11976的漏洞。ncc group在去年3月发现并第一时间通知了高通。
ncc group资深安全顾问keegan ryan称,该漏洞允许黑客通过椭圆曲线数码签章算法推测出qsee(高通芯片安全执行环境)中以ecdsa加密的224位与256位的金钥。
qsee源自armtrustzone,该技术与cortex?-a处理器紧密集成,并通过amba?axi总线和特定的trustzone系统ip块在系统中进行扩展。
此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设,从而可确保它们免遭软件攻击。
正常来说,按照trustzone ready program建议开发并利用trustzone技术的设备提供了能够支持完全可信执行环境(tee)以及安全感知应用程序和安全服务的平台。
但是,ryan认为ecdsa签章其实是在处理随机数值的乘法回圈,一旦黑客反向恢复这个随机数值,就可以通过既有技术复原完整私钥。
实际上,ryan证明了有两个区域极易泄露这些随机数值的少数位,并且还绕过了这两个区域的对抗旁路攻击机制,成功恢复了nexus5x手机上所存放的256位私钥。
高通安全公告显示,cve-2018-11976被高通列为重大漏洞,其可能影响40款高通芯片,涉及android手机及其他产品多达数十亿台。
据悉,直到今年4月高通才正式修复了这一漏洞。
朗迅科技承担国家重点研发计划“战略性先进电子材料”重点专项
英特尔的 NUC 项目现正式引入笔记本电脑产品
vivo X27采用零界全面屏和无孔设计实现了真正的无边缘
INDEMIND:2023,服务机器人能否“狂飙”?
卓越画质触手可及,中科创达Falcon画质解决方案正式发布
高通致命漏洞曝光 波及数十亿安卓设备
火星首个开源Linux系统以及飞行软件框架F Prime
Linux中如何使用Docker安装MySQL
国芯思辰|对标C4D40120D,1200V SiC肖特基二极管B2D40120HC1让车载充电机更高效
MSP-300-070-B-W-1压力传感器用于轮胎气密性试验系统
RER-USB100W-BX主要应用及规格介绍
支持低代码开发和远程真机,DevEco Studio 2.2 Beta1来啦
沪士电子国内领先的通讯板企业,业绩拐点显现
凌力尔特发表LTC559x系列高动态范围双组下变频混频器
美国联邦航空管理局正在要求波音737NG飞机扩大检查范围
专为中小企业定制 ThinkPad R480助力企业快速发展
中国自研激光雷达 量产交付大交通
Redmi K20颜值爆表 4000mAh大电池和第7代屏幕指纹识别
易云系统云组态的优势特点
24