当前位置:首页 > 黑客教程 > 正文内容

德国英飞凌采用的专用微控制器 TPM 存在高危漏洞,可凭目标公钥推算出 RSA 密钥或影响全球 76 万设备

访客56年前 (1970-01-01)黑客教程942

HackerNews.cc 10 月 17 日消息,捷克 Masaryk 大学的安全研究人员近期发现德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA(CVE-2017-15361),允许攻击者进行因数分解攻击的同时,通过目标系统的公钥反向计算私有 RSA 加密密钥。该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡、安全令牌以及其他安全硬件芯片等。目前,数十亿设备可能已遭受攻击。

英飞凌 Infineon TPM 是一款专用的微控制处理器,其主要将加密密钥集成到设备后保护系统硬件,并防止未经授权的访问通过提高系统完整性而窃取敏感数据。

调查显示,攻击者利用该漏洞可以针对不同密钥长度(包括 1024 与 2048 位)进行破解,并通过滥用私钥窃取敏感消息和伪造签名。据悉,ROCA 漏洞的实际影响取决于使用场景、公共密钥的可用性和使用密钥的长度。研究人员发现并分析了各领域的易受攻击密钥,其中包括公民电子文档、身份验证令牌、受信任的引导设备、软件包签名、TLS/HTTPS 密钥和 PGP。目前,虽然已确认易受攻击的密钥数量约为 76 万,但可能只有 2-3 个极其薄弱。

研究人员表示,他们于今年 2 月发现漏洞后立即上报至英飞凌并将这一事件命名为 “ Copper *** ith 攻击事件的回归:广泛使用 RSA 模块的实际因数分解 ” 进行深入研究。据称,安全专家将于 11 月 2 日在 ACM 计算机与通信安全会议上发表他们的研究成果,包括分解 *** 。

目前,研究人员已在一篇博客文章中公开了 ROCA 漏洞的详细信息并在线发布了一款测试工具,可以用来检测自身设备的 RSA 密钥是否受到影响。此外,研究人员警示,该漏洞普遍存在于英飞凌芯片产品且被各供应商出售。好在包括英飞凌、微软、谷歌、惠普、联想和富士通在内的主要厂商已通过软件升级解决 ROCA 漏洞。对此,他们强烈建议用户更新应用系统至最新版本并在设备外部生成安全的 RSA 密钥后再将其导入设备。

附:英飞凌 ROCA 漏洞详细报告《 ROCA: Vulnerable RSA generation 》

原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/34265.html

“德国英飞凌采用的专用微控制器 TPM 存在高危漏洞,可凭目标公钥推算出 RSA 密钥或影响全球 76 万设备” 的相关文章

安全专家担忧欧盟 DMA 会破坏 WhatsApp 等应用的端到端加密

3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人...

乌克兰宣称挫败了 Sandworm 黑客组织想要攻击该国能源供应商的企图

乌克兰计算机应急响应小组(CERT-UA)在周二的一份安全公告中称,他们刚刚破坏了 Sandworm 想要攻陷一家该国能源供应商的企图。据说 Sandworm 是一个与俄罗斯军事情报部门有关联的黑客组织,期间试图利用臭名昭著的新版 Industroyer 恶意软件,来切断未具名的某能源供应商的变电站...

美敦力公司召回部分胰岛素泵控制器,以应对网络攻击风险

医疗设备制造商美敦力公司(Medtronic)已召回其部分胰岛素泵使用的遥控器,因为这些遥控器存在严重的漏洞,可能导致患者受伤或死亡。 攻击者可以利用漏洞来改变胰岛素泵提供给病人的剂量。 “MiniMed™远程控制器使用无线射频(RF)与胰岛素泵通信,可以在不按任何胰岛素泵按钮的情况下将一定量的胰岛...

新型恶意软件 Tangle Bot 窃取用户手机信息,安卓用户为主要目标

网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁,可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁,根据报告,Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot,因为它能够接管一些设备的功能,包括联系人列表、电话记录、摄像头和麦...

2021 年物联网设备 CVE 天梯榜

2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视...

伊朗支持的黑客入侵了以色列国防军前参谋长的电脑

据外媒报道,一名为伊朗工作的网络罪犯攻击了一名前以色列国防军(IDF)参谋长的电脑并获得了他整台电脑数据库的访问权限。Channel 10确认该名黑客是Yaser Balgahi。据报道,他事后吹嘘自己的黑客攻击行为,然而他在不知情的情况下留下了自己身份的痕迹。 这一情况使得伊朗关闭了针对全球180...

评论列表

世味颜于
2年前 (2022-06-20)

进行破解,并通过滥用私钥窃取敏感消息和伪造签名。据悉,ROCA 漏洞的实际影响取决于使用场景、公共密钥的可用性和使用密钥的长度。研究人员发现并分析了各领域的易受攻击密钥,其

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。