超过40款高通芯片存在“旁路漏洞”，该漏洞可被用来窃取芯片内所储存的机密信息

4月28日消息，近日英国安全机构NCC Group公布了一则重磅消息：超过40款高通芯片存在“旁路漏洞”，该漏洞可被用来窃取芯片内所储存的机密信息，并波及采用相关芯片的Android手机等相关装置。不过，在本月初，高通已经修补了去年就得知的这一漏洞。

根据高通安全公告，这一编号为CVE-2018-11976的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。

QSEE源自于Arm的TrustZone设计，TrustZone为系统单晶片的安全核心，它建立了一个隔离的安全世界来供可靠软件与机密资料使用，而其它软件则只能在一般的世界中执行，QSEE即是高通根据TrustZone所打造的安全执行环境。

虽然，NCC Group早在去年就发现了此一漏洞，并于去年3月通知了高通，但是高通却一直到今年4月才正式修补，并于近日被正式曝光。

值得注意的是，去年英特尔、AMD、Arm Cortrex系列芯片被接连爆出存在多项安全漏洞，虽然此后各家都推出了修补的补丁，但这并不代表之后就不会有类似的事件发生。当时，ARM负责人也对外表示，没有绝对也安全，芯片漏洞可能再次发生。