2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
一個(gè)國(guó)際研究小組發(fā)現(xiàn),芯片巨頭英特爾和日內(nèi)瓦半導(dǎo)體制造商意法半導(dǎo)體生產(chǎn)的電腦芯片存在嚴(yán)重的安全漏洞,影響了全球數(shù)十億筆記本電腦、服務(wù)器、平板電腦和臺(tái)式電腦用戶。
這兩個(gè)漏洞現(xiàn)在已經(jīng)得到了解決,黑客可以利用定時(shí)的側(cè)通道攻擊來(lái)竊取應(yīng)該安全留在芯片內(nèi)的加密密鑰。這些恢復(fù)的密鑰可以用來(lái)破壞電腦的操作系統(tǒng),偽造文件上的數(shù)字簽名,竊取或修改加密信息。
這些缺陷存在于TPMs或可信平臺(tái)模塊中,TPMs是一種專門(mén)的、抗篡改的芯片,過(guò)去10年來(lái),電腦制造商幾乎在所有筆記本電腦、智能手機(jī)和平板電腦上都部署了這種芯片。
“如果黑客利用了這些漏洞,操作系統(tǒng)內(nèi)部最基本的安全服務(wù)就會(huì)受到威脅,”馬薩諸塞州伍斯特理工學(xué)院(Worcester Polytechnic Institute)電氣與計(jì)算機(jī)工程教授、維爾納姆實(shí)驗(yàn)室(Vernam Lab)負(fù)責(zé)人伯克?蘇納爾(Berk Sunar)表示。
“這個(gè)芯片應(yīng)該是信任的根源。如果一個(gè)黑客控制了它,他們就拿到了城堡的鑰匙,”蘇納爾警告說(shuō)。
遵循國(guó)際安全標(biāo)準(zhǔn),TPMs用于保護(hù)用于硬件身份驗(yàn)證和加密密鑰(包括簽名密鑰和智能卡證書(shū))的加密密鑰。將安全性降低到硬件級(jí)別比純軟件解決方案提供了更多的保護(hù),這是一些核心安全服務(wù)所必需的。
WPI安全研究員Sunar和Daniel Moghimi領(lǐng)導(dǎo)了一個(gè)國(guó)際研究小組,他們發(fā)現(xiàn)了這兩個(gè)嚴(yán)重的安全漏洞。WPI團(tuán)隊(duì)發(fā)現(xiàn)的缺陷之一是英特爾的TPM固件,即fTPM,該軟件運(yùn)行在該公司自2013年推出Haswell處理器以來(lái)生產(chǎn)的處理器的安全和管理引擎中。Haswell cpu用于流行的核心i3、i5和i7系列處理器。
第二個(gè)缺陷是意法半導(dǎo)體的TPM。值得注意的是,意法半導(dǎo)體的漏洞在于其芯片獲得了“通用標(biāo)準(zhǔn)”(Common Criteria)強(qiáng)有力的行業(yè)認(rèn)可的安全認(rèn)證。“通用標(biāo)準(zhǔn)”是一種高度認(rèn)可的安全認(rèn)證,依據(jù)的是國(guó)際規(guī)范,旨在確保技術(shù)符合工業(yè)和政府部署中首選的高安全標(biāo)準(zhǔn)。
WPI的研究人員與德國(guó)呂貝克大學(xué)(University of Lubeck)的IT安全教授托馬斯·艾森巴思(Thomas Eisenbarth)和加州大學(xué)圣迭戈分校(University of California, San Diego)的納迪亞·海寧格(Nadia Heninger)合作。一旦發(fā)現(xiàn)這些漏洞,WPI的研究人員就會(huì)向芯片制造商報(bào)告,他們還在一篇論文中描述了這些漏洞,該論文將于明年8月在波士頓舉行的“第29屆USENIX安全研討會(huì)”上發(fā)表。
Moghimi說(shuō):“我們向英特爾和意法半導(dǎo)體提供了我們的分析工具和結(jié)果,兩家公司都與我們合作創(chuàng)建了一個(gè)補(bǔ)丁,或者確保為下一代這些設(shè)備提供一個(gè)安全補(bǔ)丁?!?/p>
Moghimi解釋說(shuō),如果黑客進(jìn)入了英特爾的軟件,他們可以偽造數(shù)字簽名,使他們能夠修改、刪除或竊取信息。研究小組發(fā)現(xiàn)了意法半導(dǎo)體TPM的另一個(gè)缺陷,它是基于該公司流行的ST33芯片。這家芯片制造商今年早些時(shí)候宣布,已經(jīng)售出超過(guò)10億片ST33芯片。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。