高通芯片关键漏洞暴露三星、LG手机上的机密数据，你的密码可被轻松窃取！

LYA 看雪学院 2021-03-09

一直以来，高通处理器在智能手机市场上占据大量份额。

向全球多家手机厂商提供技术支持。

其骁龙处理器更是业界领先。

然而近期高通被曝出的漏洞却让大部分安卓手机遭殃。

漏洞来源

经过四个月的调查，研究人员在使用高通处理器的安卓设备上发现了一个新漏洞，这次的漏洞与象征安全的TEE密不可分，能够导致攻击者执行不受信任的任意代码，访问私密数据。

TEE是Trusted Execution Environment 的缩写，即可信执行环境，是主处理器中的安全区域，它的一大特点是和操作系统并行运行，这个并行系统比传统系统更加安全。通常用来进行数字版权管理、移动支付和敏感数据保护。

TEE的实现基于ARM的TrustZone硬件技术，受到硬件机制保护，只能通过特定的入口与TEE通信，这也在一定程度上增强了其保密性。

然而研究人员成功逆转了高通的安全操作系统环境，他们利用模糊测试在高通的安全执行环境（QSEE）中发现漏洞。

漏洞影响

研究人员表示攻击者可利用此漏洞入侵安卓手机，不仅能绕过高通的信任链，执行特制应用程序，也会导致加密密钥、密码和信用卡凭据的泄露。

这一发现让原本安全的环境不再安全，也可能导致整个系统的崩溃。

由于高通处理器的广泛使用，其影响范围也很大。三星、LG或摩托罗拉等顶级智能手机品牌都会受到影响。

此前，他们将研究结果报告给受影响的供应商，其中高通、LG和三星已经针对这些漏洞发布相关更新补丁。

* 本文由看雪编辑 LYA 编译自 Threat Post，转载请注明来源及作者。

* 原文链接：

https://threatpost.com/federal-court-suspicionless-search-of-traveler-devices-by-border-agents-is-unconstitutional/150150/