使用高通芯片的Android设备存在多个漏洞,攻击者很容易从锁定的设备中提取出加密密钥,然后用超级电脑或其它专门设备进行暴力破解。Google和高通发表声明称漏洞已经修复,但研究人员估计,37%的Android企业用户没有打上补丁。漏洞存在于高通ARM处理器的安全功能TrustZone中,以色列独立安全研究人员Gal Beniamini已经释出了漏洞利用代码,利用TrustZone的两个漏洞(编号CVE-2015-6639 和CVE-2016-2431)提取出磁盘加密密钥。漏洞补丁已经释出,但Beniamini指出,已经修复的Android设备可以回滚到未修复状态。高通发言人声称,该公司的平台支持反回滚机制,能阻止设备安装旧的软件版本。
文章转载自 开源中国社区[http://www.oschina.net]
