上周舉行的黑帽2014大會上爆料的目前最緊要的安全問題,似乎既不是路由器的固件更新過慢,也不是 NAS易遭受攻擊,而是揭露有關(guān)Android設(shè)備諸多安全漏洞的演講者Dan Rosenberg所述有關(guān)高通芯片的廣范圍安全問題,因為這個漏洞影響到了目前絕大部分的Android手機。
在報告中提及,幾乎所有采用高通驍龍?zhí)幚砥鞯脑O(shè)備都存在此安全漏洞。這個安全漏洞出現(xiàn)在ARM的TrustZone區(qū)域,這是高通用之 作為整個系統(tǒng)范圍安全的一塊芯片區(qū)域。只要著力一些技術(shù)手段,任何人都可以“利用該漏洞來攻破DRM方案,敏感關(guān)鍵資料可遭曝光,危害操作系統(tǒng)的保護機 制,在某些情況下操縱可軟件可編程fuse來擊潰安全引導(dǎo)”。
不過據(jù)Rosenberg說,實際上他在1個月以前就已經(jīng)撰寫發(fā)布了這份安全報告,現(xiàn)在只不過是拿到黑帽大會上再說一遍。顯然高通是沒有看到這份報 告的,不過少數(shù)和高通一起玩的小伙伴已經(jīng)對此問題做出了修正,Rosenberg就說HTC One(M8)和Galaxy S5之上已經(jīng)不存在這一安全問題,不過仍有不少產(chǎn)品處在危機之中,包括Nexus 4/5、LG G2、三星Galaxy Note 3等。
由此問題,Rosenberg也在會上表示,他已成功完成對Moto X手機bootloader引導(dǎo)裝載程序的解鎖,雖然他并沒有釋出解鎖的完整過程,但對原理和做法做了一些解釋。
目前高通已經(jīng)對這一問題做出了回應(yīng),“高通對于產(chǎn)品的安全問題非常在意,而且一直都致力于在我們的軟件中解決安全漏洞,并隨后向客戶發(fā)放。我們已經(jīng)意識到了這一問題,并且已經(jīng)面向受影響的客戶給出了軟件升級,以期修復(fù)報告中的漏洞”,至于像三星和HTC這樣已經(jīng)知道了有安全漏洞的小伙伴,一直都沒能告訴我們的行為,我們表示很傷心。