2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
在研究人員發(fā)現(xiàn)高通芯片組中的新漏洞之后,一些世界上最受歡迎的智能手機可能面臨網(wǎng)絡(luò)攻擊的風(fēng)險。
Check Point的專家發(fā)現(xiàn)了一系列影響Qualcomm硬件的漏洞,它們可能使攻擊者從三星,LG和摩托羅拉智能手機中竊取關(guān)鍵信息。
這家網(wǎng)絡(luò)安全公司的調(diào)查結(jié)果表明,在高通公司的CPU中發(fā)現(xiàn)的“安全世界”存在一個漏洞,該漏洞可能導(dǎo)致受保護的數(shù)據(jù)泄漏,設(shè)備生根,引導(dǎo)加載程序解鎖以及無法檢測到的APT的執(zhí)行。
Check Point最初在6月的蒙特利爾偵察安全會議上保留了其發(fā)現(xiàn),此芯片制造商在發(fā)現(xiàn)所有缺陷后已發(fā)布修復(fù)程序。三星和LG都發(fā)布了補丁來修復(fù)他們的設(shè)備,而摩托羅拉仍在研究補丁。
高通可信執(zhí)行環(huán)境
高通公司的芯片在處理器內(nèi)部包含一個安全區(qū)域,稱為可信執(zhí)行環(huán)境(TEE),用于確保其中包含的代碼和數(shù)據(jù)保持機密和安全。Qualcomm可信執(zhí)行環(huán)境(QTEE)基于Arm的TrustZone技術(shù),它允許以不被篡改的方式存儲敏感數(shù)據(jù)。
芯片制造商的安全世界還通過受信任的第三方組件(稱為trustlet)提供其他服務(wù),這些組件由TrustZone中的受信任OS在TEE中加載并執(zhí)行。這些信任小工具充當(dāng)設(shè)備主操作系統(tǒng)所在的“正常世界”與允許數(shù)據(jù)在兩個世界之間移動的TEE之間的橋梁。
但是,Check Point使用一種稱為模糊測試的自動測試方法進行了為期四個月的調(diào)查,該方法的研究人員設(shè)法在正常世界中執(zhí)行一個trustlet并加載了他們在秘密世界中進行通信所需的修改變體。該公司使用模糊測試來瞄準(zhǔn)三星,摩托羅拉和LG的trustlet實施,并在此過程中發(fā)現(xiàn)了多個安全漏洞。
這些缺陷可能使攻擊者能夠在正常情況下執(zhí)行受信任的應(yīng)用程序,將修補后的受信任的應(yīng)用程序加載到秘密世界中,甚至從其他設(shè)備加載受信任的程序。
盡管TEE無疑是網(wǎng)絡(luò)犯罪分子可能希望利用的新的攻擊前沿,但目前尚無證據(jù)表明高通公司芯片中發(fā)現(xiàn)的漏洞已在野外被利用。
使用最好的防病毒軟件保護您的設(shè)備
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。