北京华恒智信人力资源顾问有限公司English
咨询电话: 400-818-7856 官方微信

扫一扫,关注华恒智信,共同分享专业的人力资源管理方法和工具,与顾问专家面对面!

高通逾40款芯片重大漏洞波及数十亿台安卓设备

发布时间:2019-05-08 , 发布人:华恒智信分析员

使用高通芯片组的设备,尤其是智能手机和平板电脑,容易受到一种新的安全漏洞的攻击。这种安全漏洞可以让攻击者检索存储在芯片组安全区域(即高通安全执行环境(QSEE))的私人数据和加密密钥。
高通本月早些时候已经为这个漏洞(CVE-2018-11976)部署了补丁。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。
该漏洞影响了高通芯片(用于数亿Android设备)处理QSEE内部处理数据的方式。QSEE是一个可信的执行环境(TEE),类似于Intel的SGX。
去年3月,NCC集团的安全研究员Keegan Ryan发现,高通实施的ECDSA加密签名算法允许检索高通处理器QSEE安全区域内处理的数据。
要利用这个漏洞,攻击者需要设备的root权限,但实际上这并不是一个很大的障碍,因为安卓设备上可以获得root权限的恶意软件很常见。
该漏洞有可能破坏所有Android和物联网设备的安全性,这些设备中QSEE组件用于保护敏感信息。
Ryan说,他去年就已经通知了高通这个严重的漏洞,该公司在这个月早些时候发布了固件补丁,这些补丁已经包含在谷歌2019年4月的Android安全更新中。
根据高通另一份安全咨询报告,该芯片制造商已将以下芯片组列入受影响的名单:
IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130。
使用高通(Qualcomm)这类CPU机型的安卓设备用户,以及使用他们的设备进行敏感操作的用户,应该考虑用最新的安卓操作系统安全补丁更新他们的智能手机。
据前瞻产业研究院分析,严峻的网络安全形势驱动全球信息安全市场的快速增长。截止至2017年全球网络安全产业规模达到989.86亿美元,较2016年的917.2亿美元增长了7.9%,初步测算2018年网络安全产业规模突破千亿美元。从增速看,全球网络安全产业增速在2015年达到历史高位17.3%,2017年回落至7.9%的增长水平。预测2019年网络安全产业规模将达到1144.5亿美元。并预测在2021年网络安全产业规模超1330亿美元。
作者:Winnie Lee  
来源:前瞻网