高通安全漏洞使三星和LG手机面临风险

在研究人员发现高通芯片组中的新漏洞之后，一些世界上最受欢迎的智能手机可能面临网络攻击的风险。

Check Point的专家发现了一系列影响Qualcomm硬件的漏洞，它们可能使攻击者从三星，LG和摩托罗拉智能手机中窃取关键信息。

这家网络安全公司的调查结果表明，在高通公司的CPU中发现的“安全世界”存在一个漏洞，该漏洞可能导致受保护的数据泄漏，设备生根，引导加载程序解锁以及无法检测到的APT的执行。

Check Point最初在6月的蒙特利尔侦察安全会议上保留了其发现，此芯片制造商在发现所有缺陷后已发布修复程序。三星和LG都发布了补丁来修复他们的设备，而摩托罗拉仍在研究补丁。

高通可信执行环境

高通公司的芯片在处理器内部包含一个安全区域，称为可信执行环境(TEE)，用于确保其中包含的代码和数据保持机密和安全。Qualcomm可信执行环境(QTEE)基于Arm的TrustZone技术，它允许以不被篡改的方式存储敏感数据。

芯片制造商的安全世界还通过受信任的第三方组件(称为trustlet)提供其他服务，这些组件由TrustZone中的受信任OS在TEE中加载并执行。这些信任小工具充当设备主操作系统所在的“正常世界”与允许数据在两个世界之间移动的TEE之间的桥梁。

但是，Check Point使用一种称为模糊测试的自动测试方法进行了为期四个月的调查，该方法的研究人员设法在正常世界中执行一个trustlet并加载了他们在秘密世界中进行通信所需的修改变体。该公司使用模糊测试来瞄准三星，摩托罗拉和LG的trustlet实施，并在此过程中发现了多个安全漏洞。

这些缺陷可能使攻击者能够在正常情况下执行受信任的应用程序，将修补后的受信任的应用程序加载到秘密世界中，甚至从其他设备加载受信任的程序。

尽管TEE无疑是网络犯罪分子可能希望利用的新的攻击前沿，但目前尚无证据表明高通公司芯片中发现的漏洞已在野外被利用。

使用最好的防病毒软件保护您的设备