一直以來,高通處理器在智慧手機市場上佔據大量份額。
向全球多家手機廠商提供技術支援。
其驍龍處理器更是業界領先。
然而近期高通被曝出的漏洞卻讓大部分安卓手機遭殃。
漏洞來源
經過四個月的調查,研究人員在使用高通處理器的安卓裝置上發現了一個新漏洞,這次的漏洞與象徵安全的TEE密不可分,能夠導致攻擊者執行不受信任的任意程式碼,訪問私密資料。
TEE是Trusted Execution Environment的縮寫,即可信執行環境,是主處理器中的安全區域,它的一大特點是和作業系統並行執行,這個並行系統比傳統系統更加安全。通常用來進行數字版權管理、移動支付和敏感資料保護。
TEE的實現基於ARM的TrustZone硬體技術,受到硬體機制保護,只能透過特定的入口與TEE通訊,這也在一定程度上增強了其保密性。
然而研究人員成功逆轉了高通的安全作業系統環境,他們利用模糊測試在高通的安全執行環境(QSEE)中發現漏洞。
漏洞影響
研究人員表示攻擊者可利用此漏洞入侵安卓手機,不僅能繞過高通的信任鏈,執行特製應用程式,也會導致加密金鑰、密碼和信用卡憑據的洩露。
這一發現讓原本安全的環境不再安全,也可能導致整個系統的崩潰。
由於高通處理器的廣泛使用,其影響範圍也很大。三星、LG或摩托羅拉等頂級智慧手機品牌都會受到影響。
此前,他們將研究結果報告給受影響的供應商,其中高通、LG和三星已經針對這些漏洞釋出相關更新補丁。
* 本文由看雪編輯 LYA 編譯自 Threat Post,轉載請註明來源及作者。
* 原文連結:
https://threatpost.com/federal-court-suspicionless-search-of-traveler-devices-by-border-agents-is-unconstitutional/150150/