使用高通芯片组的设备，尤其是智能手机和平板电脑，容易受到一种新的安全漏洞的攻击。这种安全漏洞可以让攻击者检索存储在芯片组安全区域(即高通安全执行环境(QSEE))的私人数据和加密密钥。

高通本月早些时候已经为这个漏洞(CVE-2018-11976)部署了补丁。它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。

该漏洞影响了高通芯片(用于数亿Android设备)处理QSEE内部处理数据的方式。QSEE是一个可信的执行环境(TEE)，类似于Intel的SGX。

去年3月，NCC集团的安全研究员Keegan Ryan发现，高通实施的ECDSA加密签名算法允许检索高通处理器QSEE安全区域内处理的数据。

要利用这个漏洞，攻击者需要设备的root权限，但实际上这并不是一个很大的障碍，因为安卓设备上可以获得root权限的恶意软件很常见。

该漏洞有可能破坏所有Android和物联网设备的安全性，这些设备中QSEE组件用于保护敏感信息。

Ryan说，他去年就已经通知了高通这个严重的漏洞，该公司在这个月早些时候发布了固件补丁，这些补丁已经包含在谷歌2019年4月的Android安全更新中。

根据高通另一份安全咨询报告，该芯片制造商已将以下芯片组列入受影响的名单：

IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130。

使用高通(Qualcomm)这类CPU机型的安卓设备用户，以及使用他们的设备进行敏感操作的用户，应该考虑用最新的安卓操作系统安全补丁更新他们的智能手机。

据前瞻产业研究院分析，严峻的网络安全形势驱动全球信息安全市场的快速增长。截止至2017年全球网络安全产业规模达到989.86亿美元，较2016年的917.2亿美元增长了7.9%，初步测算2018年网络安全产业规模突破千亿美元。从增速看，全球网络安全产业增速在2015年达到历史高位17.3%，2017年回落至7.9%的增长水平。预测2019年网络安全产业规模将达到1144.5亿美元。并预测在2021年网络安全产业规模超1330亿美元。

作者：Winnie Lee  

来源：前瞻网