ARM 和 Intel 等處理器被曝嚴(yán)重安全漏洞，普通人的支付密碼等隨時(shí)存在外泄

與非網(wǎng) 9 月 20 日訊，如果說(shuō)此前的硬件漏洞攻擊是打開(kāi)了房間的防盜門(mén)，獲取智能設(shè)備核心秘鑰。然而，那么此次的漏洞攻擊則是打開(kāi)了房間內(nèi)的保險(xiǎn)柜，黑客不需要借助任何外部程序或者鏈接。

近日，清華大學(xué)計(jì)算機(jī)系教授汪東升團(tuán)隊(duì)發(fā)現(xiàn)了 ARM 和 Intel 等處理器電源管理機(jī)制存在嚴(yán)重安全漏洞——“騎士”。這意味著普通人的支付密碼等隨時(shí)存在被泄露的風(fēng)險(xiǎn)。

據(jù)中國(guó)青年報(bào)報(bào)道，汪東升表示，2018 年引起轟動(dòng)的“熔斷”和“幽靈”漏洞出現(xiàn)在處理器高性能處理模塊，而此次發(fā)現(xiàn)的“騎士”漏洞則隱藏在普遍使用的低功耗動(dòng)態(tài)電源管理單元。

ARM 和 INTEL 等處理器芯片目前被廣泛應(yīng)用于手機(jī)等消費(fèi)類電子以及數(shù)據(jù)中心和云端等關(guān)鍵設(shè)備上。這些芯片提供的“可信執(zhí)行環(huán)境”等硬件安全技術(shù)被認(rèn)為為需要保密操作（如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等）的安全執(zhí)行提供了有力保障。

據(jù)介紹，通過(guò)“騎士”漏洞，黑客可以突破原有安全區(qū)限制，獲取智能設(shè)備核心秘鑰，直接運(yùn)行非法程序。與其他漏洞需要借助外部鏈接或者其他軟件，才能夠?qū)?a class="article-link" target="_blank" href="/tag/%E7%94%B5%E5%AD%90%E8%AE%BE%E5%A4%87/">電子設(shè)備進(jìn)行攻擊不同，此次發(fā)現(xiàn)的漏洞，從本質(zhì)上講，黑客不需要借助任何外部程序或者鏈接，就可以直接獲取用戶的安全密鑰。

黑客可以突破原有安全區(qū)限制，這些芯片提供的可信執(zhí)行環(huán)境等硬件安全技術(shù)被認(rèn)為為需要保密操作（如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等）的安全執(zhí)行提供了有力保障， 通過(guò)騎士漏洞，指導(dǎo)教師為汪東升、呂勇強(qiáng)以及美國(guó)馬里蘭大學(xué)教授屈鋼，直接運(yùn)行非法程序。

與非網(wǎng)整理自網(wǎng)絡(luò)！