高通芯片又出事了，驍龍855等40多款芯片漏洞

近年智能手機(jī)不僅在出貨量上突飛猛進(jìn)，同時(shí)也深入到我們生活的方方面面，手機(jī)中不僅有通訊錄、短信等資料，還有越來(lái)越重要的個(gè)人隱私以及財(cái)產(chǎn)信息，它們的安全與每一個(gè)人息息相關(guān)。

據(jù)媒體EETOP報(bào)道，英國(guó)安全業(yè)者NCC Group最新的報(bào)告(CVE-2018-11976)顯示美國(guó)高通公司有超過(guò)40款驍龍芯片存在泄密漏洞問(wèn)題，具體涉及高通芯片安全執(zhí)行環(huán)境(QSEE)的橢圓曲線(xiàn)數(shù)碼簽章算法(ECDSA)，將允許黑客推測(cè)出存放在QSEE中、以ECDSA加密的224位與256位的金鑰。

美國(guó)高通公司的驍龍芯片 (圖 / 網(wǎng)絡(luò))

QSEE源自于A(yíng)RM的TrustZone設(shè)計(jì)，TrustZone為系統(tǒng)單芯片的安全核心，它建立了一個(gè)隔離的安全世界來(lái)供可靠軟件與機(jī)密資料使用(如用戶(hù)的指紋和臉部信息)，而其它軟件則只能在一般的世界中執(zhí)行，QSEE即是高通根據(jù)TrustZone所打造的安全執(zhí)行環(huán)境。

本次的高通芯片漏洞涉及數(shù)十款的芯片，仍有多年前的IPQ8064、IPQ8074芯片，還有目前高通主力的驍龍855、驍龍845芯片等，并且還有面向PC平臺(tái)的高通驍龍850、8CX等芯片，可見(jiàn)相關(guān)的漏洞涉及高通的底層代碼“錯(cuò)誤”。由于這次的漏洞涉及高通多代的芯片產(chǎn)品，同時(shí)也包括有不同的產(chǎn)品線(xiàn)，受到高通漏洞影響的終端設(shè)備可能高達(dá)數(shù)十億部。

本次漏洞涉及的高通驍龍芯片型號(hào)列表 (圖 / 網(wǎng)絡(luò))

除了英國(guó)安全業(yè)者NCC Group外，我們的國(guó)家信息安全漏洞共享平臺(tái)也有公布類(lèi)似的漏洞，同樣是因?yàn)楦咄óa(chǎn)品中的TrustZone存在信息泄露漏洞。攻擊者可利用該漏洞盜竊用戶(hù)的個(gè)人信息。

國(guó)家信息安全漏洞共享平臺(tái)上關(guān)于高通驍龍芯片漏洞的介紹 (圖 / 網(wǎng)絡(luò))

國(guó)家信息安全漏洞共享平臺(tái)上關(guān)于高通驍龍芯片漏洞的介紹 (圖 / 網(wǎng)絡(luò))

不過(guò)也有網(wǎng)友懷疑這并非是漏洞，而是高通的刻意預(yù)留的后門(mén)。因?yàn)閾?jù)消息稱(chēng)這次的漏洞其實(shí)早在去年的3月份就已經(jīng)向高通提交相關(guān)說(shuō)明，然而直到今年4月份，高通才正式把這些漏洞解決好。一年多的處理時(shí)間到底是因?yàn)楦咄ǜ静话堰@些漏洞當(dāng)作 一回事？還是高通研發(fā)資源緊張，不得不把資源集中到5G研發(fā)，無(wú)暇顧及此次漏洞問(wèn)題。

事實(shí)上，除了基于TrustZone設(shè)計(jì)的漏洞外，高通近年同樣出現(xiàn)過(guò)不少的漏洞，其中危害比較大的就有2016年的安卓平臺(tái)內(nèi)核漏洞，當(dāng)時(shí)安全研究專(zhuān)家在高通芯片內(nèi)發(fā)現(xiàn)了一系列嚴(yán)重的安卓安全漏洞(稱(chēng)作“Quadrooter”)，黑客可以欺騙用戶(hù)安裝惡意應(yīng)用，獲得相應(yīng)的應(yīng)用權(quán)限，能完全控制受影響的安卓設(shè)備，包括其中的數(shù)據(jù)和硬件，例如攝像頭和麥克風(fēng)，可以收集用戶(hù)的個(gè)人隱私信息。而且受這些漏洞影響的安卓智能手機(jī)和平板電腦數(shù)量超過(guò)9億臺(tái)。更可怕的是，大部分受漏洞影響的Android設(shè)備可能永遠(yuǎn)都不會(huì)被修復(fù)。

2016年曝出的安卓安全漏洞 (圖 / 網(wǎng)絡(luò))

更有甚者，美國(guó)網(wǎng)絡(luò)安全公司FireEye在2016年曾經(jīng)披露了高通芯片帶來(lái)的一個(gè)安卓漏洞，黑客借助這個(gè)漏洞可以盜竊用戶(hù)的短信、電話(huà)記錄和其它私人隱私數(shù)據(jù)。更可怕的是這些漏洞被披露時(shí)已經(jīng)存在了5年時(shí)間。

雖然受到市場(chǎng)的壓力，高通不得不針對(duì)漏洞問(wèn)題推出了“漏洞獎(jiǎng)勵(lì)計(jì)劃”，但高通芯片依舊是漏洞的高發(fā)地，甚至可以說(shuō)是漏洞的生產(chǎn)者。希望高通除了專(zhuān)注于GPU、CPU性能跑分外，還要對(duì)用戶(hù)的隱私和財(cái)產(chǎn)安全負(fù)責(zé)。