當(dāng)智能手機(jī)發(fā)展成為個(gè)人隱私和信息財(cái)產(chǎn)的重要載體，如何保證這款最常用智能設(shè)備的安全，便成為廣大用戶最為關(guān)心的問題。然而，雖然手機(jī)廠商都聲稱自家的產(chǎn)品有多么多么的安全，但類似信息泄密的不安全事件依然時(shí)有發(fā)生。

據(jù)ETTOP消息，英國安全業(yè)者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞，可用來竊取芯片內(nèi)所儲(chǔ)存的機(jī)密資訊，并波及采用相關(guān)芯片的數(shù)十億臺(tái)Android裝置。據(jù)悉，這是一個(gè)編號(hào)為CVE－2018－11976的漏洞，該漏洞允許黑客通過橢圓曲線數(shù)碼簽章算法推測(cè)出QSEE（高通芯片安全執(zhí)行環(huán)境）中以ECDSA加密的224位與256位的金鑰。

QSEE源自于ARM的TrustZone設(shè)計(jì)，主要用于建立一個(gè)隔離的安全世界以供軟件和機(jī)密資料運(yùn)行。正常情況下，開發(fā)并利用 TrustZone 技術(shù)的設(shè)備提供了能夠支持完全可信執(zhí)行環(huán)境 （TEE） 以及安全感知應(yīng)用程序和安全服務(wù)的平臺(tái)。然而，由于 ECDSA 簽章其實(shí)是在處理隨機(jī)數(shù)值的乘法回圈，一旦黑客反向恢復(fù)這個(gè)隨機(jī)數(shù)值，就可以通過既有技術(shù)復(fù)原完整私鑰。

NCC Group資深安全顧問Keegan Ryan指出，即便是安全世界與一般世界使用的是不同的硬件資源、軟件或資料，但由于兩者是基于同樣的微架構(gòu)之上，所以依然可以通過一定的技術(shù)手段成功的從高通芯片上恢復(fù)256位加密鑰匙。

事實(shí)上，早在去年的時(shí)候，NCC Group就已經(jīng)發(fā)現(xiàn)了這一漏洞，并于當(dāng)年3月將這一漏洞告知給高通，但不知何故直到今年4月高通才正式修補(bǔ)了這一漏洞。然根據(jù)高通所張貼的安全公告來看，這個(gè)被高通列為“重大漏洞”的漏洞問題應(yīng)該還不小。

遺憾的是，目前為止并不清楚這些漏洞都隱匿在高通的哪些芯片當(dāng)中，其涉及的數(shù)十億臺(tái)Android裝置具體都包含哪些機(jī)型。