高通晶片爆漏洞危機，或可被用於執行無法檢測的APT，數億裝置受影響

【導讀】11月14日，據外媒報導，網路安全公司CheckPoint釋出了一份報告。報告指出，高通晶片存在漏洞，可能會讓攻擊者竊取儲存在安全區域的敏感資料，而這些安全區域本應該是智慧裝置中最安全的部分。據悉，數億臺智慧裝置將會遭受一系列潛在威脅，尤其是使用高通晶片組的Android智慧手機和平板電腦等。

高通晶片可信空間瞬間失效，數億級裝置的任意敏感資料被讀取

11月14日，外媒爆出高通晶片存在漏洞，該漏洞能使攻擊者竊取儲存在“安全區域”中的敏感資料，而這些區域本應是智慧裝置中受保護最多的部分。

具體來講，該漏洞位於高通公司的“安全可執行環境”（QSEE）中。QSEE是一種基於ARM TrustZone技術的Trusted Execution Environment（TEE安全執行環境）實現的，是主處理器上一個硬體隔離的安全區域，被稱為高通晶片的“安全世界”（Secure World）。

QSEE的主要職責是：保護敏感資訊以及為執行可信應用提供一個獨立的安全環境（REE）。其通常儲存使用者敏感資料和安全相關資訊，包括：私人加密金鑰、密碼、信用卡和借記卡憑證，甚至是指紋資訊等生物資訊。此外，QSEE 能夠處理App希望隱藏的任何資訊。正因為該區域對裝置的安全性至關重要，所以它對許可權控制極為嚴格，以至於像驅動和普通應用這樣的普通（Normal World）系統模組除非有必要，否則即使有root許可權，也不能訪問該安全區域。

如今，“安全世界”的區域爆出漏洞，晶片的可信空間瞬間降為0。攻擊者可利用該漏洞，讀取受影響裝置中的任意敏感資料，包括：獲取密碼金鑰、關鍵憑證以及指紋等。而受影響範圍更是“億級別”。據悉，高通QSEE被用於Pixel，LG，小米，索尼，HTC，OnePlus，三星等裝置，而裝置的型別從手機、到平板，再到IoT裝置都可能受到影響。攻擊一旦開展，將對全球的經濟乃至政治帶來巨大損失。

逆向分析高通晶片“安全世界”作業系統，TEE元件漏洞可執行無法檢測到的APT

在此次報告中，還顯示到研究人員已成功逆向了高通晶片Secure World作業系統，並利用fuzz技術找到了漏洞。

“我們還特製了一個fuzzing工具，在三星、LG和摩托羅拉的裝置上進行了測試，最終在三星裝置中找到了四個漏洞，摩托羅拉裝置找到了一個漏洞，LG裝置上找到了一個漏洞。”

l dxhdcp2 (LVE-SMP-190005)

l sec_store (SVE-2019-13952)

l authnr (SVE-2019-13949)

l esecomm (SVE-2019-13950)

l kmota (CVE-2019-10574)

l tzpr25 (acknowledged by Samsung)

l prov (Motorola is working on a fix)

同時，根據研究人員的說法，高通晶片安全元件中的漏洞可讓攻擊者：

l 在Android系統的NormalWorld下執行可信應用

l 把修補後的可信應用載入到QSEE中

l 繞過高通的信任鏈

l 調整可信應用，使其執行在另一個製造商的裝置上

l 更多待開發的利用方式

值得注意的是：他們還實現了從另一個裝置載入Trustlets，只需將Trustlets的.mdt檔案中的雜湊表、簽名和證書鏈替換為來自裝置製造商Trustlets的雜湊表、簽名和證書鏈。

由於，QSEE是一種基於ARM TrustZone技術的TEE安全執行環境實現的。所以，由此可以大膽推斷：TEE元件中的漏洞使裝置容易遭受各種安全威脅，包括：受保護資料的洩漏、裝置root、解鎖bootloader甚至是執行無法檢測到的APT。

目前，安全研究員已向所有受影響的廠商報告了漏洞，其中三星、高通和LG已經針對這些QSEE漏洞釋出了補丁更新。即使如此，但威脅仍在繼續，漏洞依然可能造成巨大影響。為了保證隱私不被侵犯，智庫認為，廣大廠商及使用者還請提高警惕，積極做好防護準備。

相關資料補充：

由於QSEE是基於ARM TrustZone技術提供的可信執行環境（TEE）實現的。所以，智庫也對ARM TrustZone 技術做了一些研究，整體相關資料資訊如下：

ARM TrustZone 技術是所有Cortex-A 類處理器的基本功能，是通過 ARM 架構安全擴充套件引入的。此擴充套件建立了一個隔離的虛擬安全環境，以為豐富系統提供機密性和完整性。我們可以這樣說，支援TrustZone的晶片會跑在兩個世界：普通世界和安全世界。

可以說，裝置使用TrustZone的最主要的原因之一是，它可以在CPU內部構建一個名為Trust Execution Enviroment（TEE）的“可信執行環境”，GlobalPlatform(全球最主要的智慧卡多應用管理規範的組織，簡稱為GP)從2011年起開始起草制定相關的TEE規範標準，並聯合一些公司共同開發基於GP TEE標準的可信作業系統。TrustZone算是遵循TEE的具體解決方案之一。理論上來說，該環境可以保證不被常規作業系統干擾的計算，因此稱為“可信”。

TrustZone元件（來源：ARM文件）

本文參考文獻：

1. https://thehackernews.com/2019/11/qualcomm-android-hacking.html
2. https://research.checkpoint.com/the-road-to-qualcomm-trustzone-apps-fuzzing/
3. http://bits-please.blogspot.com/2016/04/exploring-qualcomms-secure-execution.html
4. http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf
5. https://www.arm.com/files/pdf/TrustZone-and-FIDO-white-paper.pdf
6. http://cdmd.cnki.com.cn/Article/CDMD-10614-1015703401.htm
7. https://www.freebuf.com/articles/terminal/130992.html