原标题:研究:数百万台Android装置加密不牢靠,恐曝资安风险
安全研究人员Gal Beniamini近日揭露,採用Qualcomm处理器的Android装置因含有两个安全漏洞,将允许骇客取得全磁碟加密(Full Disk Encryption,FDE)中的装置加密金钥(Device Encryption Key,DEK),估计有数百万台的Android装置蒙受风险。
FDE是Android 5.0(Lollipop)以上才有的功能,它以加密金钥(DEK)来加密装置上的所有资料,再辅以使用者所设定的PIN码、密码或操作手势来解密。
DEK原本是储存在Android中TrustZone区域的KeyMaster模组内,在TrustZone是Android核心中的一个特别区域,它隔离了其他的Android核心,且专门用来处理重要且机密的程序。然而,在採用Qualcomm Snapdragon处理器的Android装置中,KeyMaster模组却是被置放在Qualcomm晶片组的安全执行环境(QSEE)中,而非Android核心里。
Beniamini设计了一款攻击程式,可利用已知的CVE-2015-6639与CVE-2016-2431等两个安全漏洞存取位于QSEE中的DEK金钥,且已于GitHub公布该程式。
在取得DEK金钥之后,意谓着骇客只要再破解使用者的PIN码、密码或操作手势,就能存取装置上的加密资讯。
虽然被Beniamini用来开採的两个漏洞皆已修补,Beniamini也因此获得了Google所提供的抓漏奖励,但由于KeyMaster属于硬体抽象层,Beniamini认为修补相关漏洞并不容易,或者必须变更硬体设计,不过,不论是Google或Qualcomm都未提及硬体的修补。
相关:
报导:Dell停售Android平板,专注Windows 2合1装置
图片来源: Dell PCworld报导,有鑒于市场饱和,Dell将停售Android平台的Venue平板电脑产品,未来只专注于Windows 二合一装置。?Dell发言人指出,「平板市场已经过度饱和,面临消费者需求下滑的局面,因此我们决定终止
夜店吹气球实为笑气,或存安全风险!最近,网上有不少消息说夜店流行吹气球。据说吹气球其实是为了吸气球中一种叫笑气(又称一氧化二氮)的东西。不少人之所以吸食笑气,是因为吸入体内后会有兴奋放松的感觉,还会想大
好房网News记者贾蓉/整理报道 建商带头杀破盘,成功激出积压已久的买气,不过专家提醒,购买预售屋、新成屋仍有3大风险,民众千万别被价格冲昏头,陷入买房迷思中。 建商破盘价好吸引人,小心“喜新厌旧”3风险
智能服装、新型材料科技成服装行业研究新课题
能服装被认为是可穿戴式技术的终极形态,毕竟可以不佩戴手表手环、但不能不穿衣服。当然,目前的智能服装大多数一堆华而不实的led“外星装”,但这种情
《Appetite》刊登纽约州立大学奥尔巴尼分校(University of Albany)的最新研究,孕妇如果在孕期,应该不能向自己对食物的渴望(food craving)妥协,因为其为身体带来的坏处可能大于好处。研究中作者招募83位孕妇作为受