因特爾 意法半導體芯片的缺陷將危及數(shù)十億臺設備

一個國際研究小組發(fā)現(xiàn)，芯片巨頭英特爾和日內瓦半導體制造商意法半導體生產的電腦芯片存在嚴重的安全漏洞，影響了全球數(shù)十億筆記本電腦、服務器、平板電腦和臺式電腦用戶。

這兩個漏洞現(xiàn)在已經得到了解決，黑客可以利用定時的側通道攻擊來竊取應該安全留在芯片內的加密密鑰。這些恢復的密鑰可以用來破壞電腦的操作系統(tǒng)，偽造文件上的數(shù)字簽名，竊取或修改加密信息。

這些缺陷存在于TPMs或可信平臺模塊中，TPMs是一種專門的、抗篡改的芯片，過去10年來，電腦制造商幾乎在所有筆記本電腦、智能手機和平板電腦上都部署了這種芯片。

“如果黑客利用了這些漏洞，操作系統(tǒng)內部最基本的安全服務就會受到威脅，”馬薩諸塞州伍斯特理工學院(Worcester Polytechnic Institute)電氣與計算機工程教授、維爾納姆實驗室(Vernam Lab)負責人伯克?蘇納爾(Berk Sunar)表示。

“這個芯片應該是信任的根源。如果一個黑客控制了它，他們就拿到了城堡的鑰匙，”蘇納爾警告說。

遵循國際安全標準，TPMs用于保護用于硬件身份驗證和加密密鑰(包括簽名密鑰和智能卡證書)的加密密鑰。將安全性降低到硬件級別比純軟件解決方案提供了更多的保護，這是一些核心安全服務所必需的。

WPI安全研究員Sunar和Daniel Moghimi領導了一個國際研究小組，他們發(fā)現(xiàn)了這兩個嚴重的安全漏洞。WPI團隊發(fā)現(xiàn)的缺陷之一是英特爾的TPM固件，即fTPM，該軟件運行在該公司自2013年推出Haswell處理器以來生產的處理器的安全和管理引擎中。Haswell cpu用于流行的核心i3、i5和i7系列處理器。

第二個缺陷是意法半導體的TPM。值得注意的是，意法半導體的漏洞在于其芯片獲得了“通用標準”(Common Criteria)強有力的行業(yè)認可的安全認證?！巴ㄓ脴藴省笔且环N高度認可的安全認證，依據(jù)的是國際規(guī)范，旨在確保技術符合工業(yè)和政府部署中首選的高安全標準。

WPI的研究人員與德國呂貝克大學(University of Lubeck)的IT安全教授托馬斯·艾森巴思(Thomas Eisenbarth)和加州大學圣迭戈分校(University of California, San Diego)的納迪亞·海寧格(Nadia Heninger)合作。一旦發(fā)現(xiàn)這些漏洞，WPI的研究人員就會向芯片制造商報告，他們還在一篇論文中描述了這些漏洞，該論文將于明年8月在波士頓舉行的“第29屆USENIX安全研討會”上發(fā)表。

Moghimi說:“我們向英特爾和意法半導體提供了我們的分析工具和結果，兩家公司都與我們合作創(chuàng)建了一個補丁，或者確保為下一代這些設備提供一個安全補丁?！?/p>

Moghimi解釋說，如果黑客進入了英特爾的軟件，他們可以偽造數(shù)字簽名，使他們能夠修改、刪除或竊取信息。研究小組發(fā)現(xiàn)了意法半導體TPM的另一個缺陷，它是基于該公司流行的ST33芯片。這家芯片制造商今年早些時候宣布，已經售出超過10億片ST33芯片。