ARM 和 Intel 等處理器被曝嚴(yán)重安全漏洞，普通人的支付密碼等隨時存在外泄

與非網(wǎng) 9 月 20 日訊，如果說此前的硬件漏洞攻擊是打開了房間的防盜門，獲取智能設(shè)備核心秘鑰。然而，那么此次的漏洞攻擊則是打開了房間內(nèi)的保險柜，黑客不需要借助任何外部程序或者鏈接。

近日，清華大學(xué)計算機系教授汪東升團(tuán)隊發(fā)現(xiàn)了 ARM 和 Intel 等處理器電源管理機制存在嚴(yán)重安全漏洞——“騎士”。這意味著普通人的支付密碼等隨時存在被泄露的風(fēng)險。

據(jù)中國青年報報道，汪東升表示，2018 年引起轟動的“熔斷”和“幽靈”漏洞出現(xiàn)在處理器高性能處理模塊，而此次發(fā)現(xiàn)的“騎士”漏洞則隱藏在普遍使用的低功耗動態(tài)電源管理單元。

ARM 和 INTEL 等處理器芯片目前被廣泛應(yīng)用于手機等消費類電子以及數(shù)據(jù)中心和云端等關(guān)鍵設(shè)備上。這些芯片提供的“可信執(zhí)行環(huán)境”等硬件安全技術(shù)被認(rèn)為為需要保密操作（如指紋識別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等）的安全執(zhí)行提供了有力保障。

據(jù)介紹，通過“騎士”漏洞，黑客可以突破原有安全區(qū)限制，獲取智能設(shè)備核心秘鑰，直接運行非法程序。與其他漏洞需要借助外部鏈接或者其他軟件，才能夠?qū)?a class="article-link" target="_blank" href="/tag/%E7%94%B5%E5%AD%90%E8%AE%BE%E5%A4%87/">電子設(shè)備進(jìn)行攻擊不同，此次發(fā)現(xiàn)的漏洞，從本質(zhì)上講，黑客不需要借助任何外部程序或者鏈接，就可以直接獲取用戶的安全密鑰。

黑客可以突破原有安全區(qū)限制，這些芯片提供的可信執(zhí)行環(huán)境等硬件安全技術(shù)被認(rèn)為為需要保密操作（如指紋識別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等）的安全執(zhí)行提供了有力保障， 通過騎士漏洞，指導(dǎo)教師為汪東升、呂勇強以及美國馬里蘭大學(xué)教授屈鋼，直接運行非法程序。

與非網(wǎng)整理自網(wǎng)絡(luò)！