高通超 40 款芯片被曝出泄密漏洞：数十亿台设备曾受影响

英国安全业者 NCC Group 公布了藏匿在逾 40 款高通芯片的旁路漏洞，可用来窃取芯片内所储存的机密资讯，并波及采用相关芯片的 Android 装置，高通已于本月初修补了此一在去年就得知的漏洞。

截图自 nccgroup ▲

此一编号为 CVE-2018-11976 的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在 QSEE 中、以 ECDSA 加密的 224 位与 256 位的金钥。

QSEE 源自于 ARM 的 TrustZone 设计，TrustZone 为系统单晶片的安全核心，它建立了一个隔离的安全世界来供可靠软件与机密资料使用，而其它软件则只能在一般的世界中执行，QSEE 即是高通根据 TrustZone 所打造的安全执行环境。

NCC Group 早在去年就发现了此一漏洞，并于去年 3 月知会高通，高通则一直到今年 4 月才正式修补。

根据高通所张贴的安全公告，CVE-2018-11976 属于 ECDSA 签章代码的加密问题，将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞，而且影响超过 40 款的高通芯片，可能波及多达数十亿台的 Android 手机 及设备。

【来源：IT之家】