据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。
此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。 QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。 NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。 更多本周开源资讯,本次专辑将为您一一呈现…… 谷歌侵权甲骨文Java版权案难裁决,已征求特朗普政府意见 谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权和专利的侵犯(非法使用了 37 个 Java API 用于 Android 操作系统)。甲骨文最初于 2010 年起诉谷歌,一度在该案中寻求来自谷歌高达 90 亿美元的侵权损害赔偿。 “不要脸”?红帽20年来首次修改logo 红帽(Red Hat)换新 logo 了,这是近 20 年红帽品牌的首次重大更新。红帽一家知名的开源解决方案供应商,在去年以 340 亿美元的价格被 IBM 收购。新的 logo 设计仍然是一顶红帽子,但去掉了原有的 “影子家伙“,看起来像是少了一张脸。 Google Docs不再支持新版Edge,谷歌霸权作祟? Chromium 版 Edge 用户在浏览器中打开 Google Docs 时,会收到一封“不受支持的浏览器”通知。该通知显示在网址栏下方的一小条弹窗内,具体内容为“您正在使用的浏览器版本不再受支持,请切换到受支持的浏览器”。 |
