360专家深度分析高通架构漏洞安全风险:危害不大

日前，高通公司骁龙处理器被曝出存在安全漏洞，测试发现，部分手机公司此前已经得知这一漏洞，在新款手机上紧急修复了该漏洞，不过仅三星Galaxy S5和HTC One M8等最新机型不受该漏洞影响。360手机安全专家分析指出，这一漏洞需要进入系统内核才能被恶意使用，局限性大、攻击技术成本很高，对当前普通手机用户来说大可不必担心。

据悉，安全专家Dan Rosenberg在2014年黑帽大会上公开了这一漏洞。360手机安全专家分析指出，“该漏洞是一个TrustZone级别的漏洞，TrustZone是ARM芯片级别支持的安全扩展，可用于手机内核安全威胁监控、数字版权保护、移动支付认证等多个方向。”

360手机安全专家介绍，这次公开的漏洞可能会对安卓手机系统底层的一种安全环境产生影响。“高通利用TrustZone实现了一套安全环境（QSEE），部署在绝大多数高通架构的安卓手机上面。原本上QSEE内部的内存是外部不可访问的，这次公开的漏洞使得手机内核中的程序能够向QSEE内部内存写入数据。”

对于这一漏洞存在的安全风险，专家指出主要存在三方面：第一，篡改数字执行保护或移动支付方案的密钥；第二，执行一些安全环境（QSEE）的内部功能，比如解锁手机；第三，禁用对于手机内核的安全性监控。

需要指出的是，该漏洞对目前的手机支付安全并不存在直接的安全威胁，利用这一漏洞执行恶意行为还需对手机版本进行适配，并且只用于高级入侵中特定的场景，未来可能会对移动支付安全产生影响。

图：2014年第二季度安卓平台恶意程序感染类型分布

360手机安全专家指出，手机软件的安全隐患以及恶意程序才是目前移动支付安全的最大敌人。360手机安全中心此前发布的《手机银行客户端安全性测评报告》显示，目前主流手机银行客户端均存在安全隐患，此外，2014年上半年360互联网安全中心累计截获Android平台新增恶意程序样本超过84万个。

安全专家建议，手机用户可以安装360手机卫士等手机安全软件保护移动支付安全，避免未来可能产生的恶劣影响。