360專家深度分析高通架構漏洞安全風險
責編:admin |2014-08-15 15:28:49日前,高通公司驍龍處理器被曝出存在安全漏洞,測試發現,部分手機公司此前已經得知這一漏洞,在新款手機上緊急修復了該漏洞,不過僅三星 Galaxy S5和HTC One M8 等最新機型不受該漏洞影響。360手機安全專家分析指出,這一漏洞需要進入系統內核才能被惡意使用,局限性大、攻擊技術成本很高,對當前普通手機用戶來說大可不必擔心。
據悉,安全專家 Dan Rosenberg在2014年黑帽大會上公開了這一漏洞。360手機安全專家分析指出,“該漏洞是一個TrustZone級別的漏洞,TrustZone是ARM芯片級別支持的安全擴展,可用于手機內核安全威脅監控、數字版權保護、移動支付認證等多個方向。”
360手機安全專家介紹,這次公開的漏洞可能會對安卓手機系統底層的一種安全環境產生影響。“高通利用TrustZone實現了一套安全環境(QSEE),部署在絕大多數高通架構的安卓手機上面。原本上QSEE內部的內存是外部不可訪問的,這次公開的漏洞使得手機內核中的程序能夠向QSEE內部內存寫入數據。”
對于這一漏洞存在的安全風險,專家指出主要存在三方面:第一,篡改數字執行保護或移動支付方案的密鑰;第二,執行一些安全環境(QSEE)的內部功能,比如解鎖手機;第三,禁用對于手機內核的安全性監控。
需要指出的是,該漏洞對目前的手機支付安全并不存在直接的安全威脅,利用這一漏洞執行惡意行為還需對手機版本進行適配,并且只用于高級入侵中特定的場景,未來可能會對移動支付安全產生影響。
360手機安全專家指出,手機軟件的安全隱患以及惡意程序才是目前移動支付安全的最大敵人。360手機安全中心此前發布的《手機銀行客戶端安全性測評報告》顯示,目前主流手機銀行客戶端均存在安全隱患,此外,2014年上半年360互聯網安全中心累計截獲Android平臺新增惡意程序樣本超過84萬個。
安全專家建議,手機用戶可以安裝360手機衛士等手機安全軟件保護移動支付安全,避免未來可能產生的惡劣影響。