信息來源：4hou

高通芯片可信空間瞬間失效，數(shù)億級(jí)設(shè)備的任意敏感數(shù)據(jù)被讀取

11月14日，外媒爆出高通芯片存在漏洞，該漏洞能使攻擊者竊取存儲(chǔ)在“安全區(qū)域”中的敏感數(shù)據(jù)，而這些區(qū)域本應(yīng)是智能設(shè)備中受保護(hù)最多的部分。

具體來講，該漏洞位于高通公司的“安全可執(zhí)行環(huán)境”（QSEE）中。QSEE是一種基于ARM TrustZone技術(shù)的Trusted Execution Environment（TEE安全執(zhí)行環(huán)境）實(shí)現(xiàn)的，是主處理器上一個(gè)硬件隔離的安全區(qū)域，被稱為高通芯片的“安全世界”（Secure World）。

QSEE的主要職責(zé)是：保護(hù)敏感信息以及為執(zhí)行可信應(yīng)用提供一個(gè)獨(dú)立的安全環(huán)境（REE）。其通常存儲(chǔ)用戶敏感數(shù)據(jù)和安全相關(guān)信息，包括：私人加密密鑰、密碼、信用卡和借記卡憑證，甚至是指紋信息等生物信息。此外，QSEE 能夠處理App希望隱藏的任何信息。正因?yàn)樵搮^(qū)域?qū)υO(shè)備的安全性至關(guān)重要，所以它對權(quán)限控制極為嚴(yán)格，以至于像驅(qū)動(dòng)和普通應(yīng)用這樣的普通（Normal World）系統(tǒng)模塊除非有必要，否則即使有root權(quán)限，也不能訪問該安全區(qū)域。

如今，“安全世界”的區(qū)域爆出漏洞，芯片的可信空間瞬間降為0。攻擊者可利用該漏洞，讀取受影響設(shè)備中的任意敏感數(shù)據(jù)，包括：獲取密碼密鑰、關(guān)鍵憑證以及指紋等。而受影響范圍更是“億級(jí)別”。據(jù)悉，高通QSEE被用于Pixel，LG，小米，索尼，HTC，OnePlus，三星等設(shè)備，而設(shè)備的類型從手機(jī)、到平板，再到IoT設(shè)備都可能受到影響。攻擊一旦開展，將對全球的經(jīng)濟(jì)乃至政治帶來巨大損失。

逆向分析高通芯片“安全世界”操作系統(tǒng)，TEE組件漏洞可執(zhí)行無法檢測到的APT

在此次報(bào)告中，還顯示到研究人員已成功逆向了高通芯片Secure World操作系統(tǒng)，并利用fuzz技術(shù)找到了漏洞。

“我們還特制了一個(gè)fuzzing工具，在三星、LG和摩托羅拉的設(shè)備上進(jìn)行了測試，最終在三星設(shè)備中找到了四個(gè)漏洞，摩托羅拉設(shè)備找到了一個(gè)漏洞，LG設(shè)備上找到了一個(gè)漏洞?！?

l  dxhdcp2 (LVE-SMP-190005)

l  sec_store (SVE-2019-13952)

l  authnr (SVE-2019-13949)

l  esecomm (SVE-2019-13950)

l  kmota (CVE-2019-10574)

l  tzpr25 (acknowledged by Samsung)

l  prov (Motorola is working on a fix)

同時(shí)，根據(jù)研究人員的說法，高通芯片安全組件中的漏洞可讓攻擊者：

l  在Android系統(tǒng)的NormalWorld下執(zhí)行可信應(yīng)用

l  把修補(bǔ)后的可信應(yīng)用加載到QSEE中

l  繞過高通的信任鏈

l  調(diào)整可信應(yīng)用，使其運(yùn)行在另一個(gè)制造商的設(shè)備上

l  更多待開發(fā)的利用方式

值得注意的是：他們還實(shí)現(xiàn)了從另一個(gè)設(shè)備加載Trustlets，只需將Trustlets的.mdt文件中的哈希表、簽名和證書鏈替換為來自設(shè)備制造商Trustlets的哈希表、簽名和證書鏈。

由于，QSEE是一種基于ARM TrustZone技術(shù)的TEE安全執(zhí)行環(huán)境實(shí)現(xiàn)的。所以，由此可以大膽推斷：TEE組件中的漏洞使設(shè)備容易遭受各種安全威脅，包括：受保護(hù)數(shù)據(jù)的泄漏、設(shè)備root、解鎖bootloader甚至是執(zhí)行無法檢測到的APT。

目前，安全研究員已向所有受影響的廠商報(bào)告了漏洞，其中三星、高通和LG已經(jīng)針對這些QSEE漏洞發(fā)布了補(bǔ)丁更新。即使如此，但威脅仍在繼續(xù)，漏洞依然可能造成巨大影響。為了保證隱私不被侵犯，智庫認(rèn)為，廣大廠商及用戶還請?zhí)岣呔?，積極做好防護(hù)準(zhǔn)備。

相關(guān)資料補(bǔ)充：

由于QSEE是基于ARM TrustZone技術(shù)提供的可信執(zhí)行環(huán)境（TEE）實(shí)現(xiàn)的。所以，智庫也對ARM TrustZone 技術(shù)做了一些研究，整體相關(guān)資料信息如下：

ARM TrustZone 技術(shù)是所有Cortex-A 類處理器的基本功能，是通過 ARM 架構(gòu)安全擴(kuò)展引入的。此擴(kuò)展創(chuàng)建了一個(gè)隔離的虛擬安全環(huán)境，以為豐富系統(tǒng)提供機(jī)密性和完整性。我們可以這樣說，支持TrustZone的芯片會(huì)跑在兩個(gè)世界：普通世界和安全世界。

可以說，設(shè)備使用TrustZone的最主要的原因之一是，它可以在CPU內(nèi)部構(gòu)建一個(gè)名為Trust Execution Enviroment（TEE）的“可信執(zhí)行環(huán)境”，GlobalPlatform(全球最主要的智能卡多應(yīng)用管理規(guī)范的組織，簡稱為GP)從2011年起開始起草制定相關(guān)的TEE規(guī)范標(biāo)準(zhǔn)，并聯(lián)合一些公司共同開發(fā)基于GP TEE標(biāo)準(zhǔn)的可信操作系統(tǒng)。TrustZone算是遵循TEE的具體解決方案之一。理論上來說，該環(huán)境可以保證不被常規(guī)操作系統(tǒng)干擾的計(jì)算，因此稱為“可信”。