更多

    保安晶片爆漏洞 Microsoft 、 Google 、 Lenovo 同遭殃

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    AirTags 準備就緒? Find My 程式已暗藏 AirTags 介面?!

    話說昨晚 Samsung 的 Galaxy Unpacked 2021 發表會中,公布了一款藍牙物件定位裝置 Galaxy SmartTag 。雖然這兩年來已不停傳出 Apple 也準備推出名為 AirTags 的同類裝置,但未推出就是未推出。不過最近就有人發現 AirTags 功能其實已經暗藏於 iOS 14.3 之內,而且可以透過手機的 Safari 召喚出來!

    iOS 14.4 會對非官方鏡頭零件發出警告

    Apple 日前向開發者和公眾釋出 iOS 14.4 beta 2 。這個相隔了一個月推出的測試版本據報加入了檢測相機鏡頭模組的功能,如果用戶把手機拿去第三方維修商修理,而相機鏡頭不是原廠的話,就會發出警告。

    用 Apple 銀包、 Google Pay 儲存針卡?Microsoft 、 Oracle 加入 VCI 數碼針卡計劃

    香港政府早前推出「智方便」個人身分程式,打算未來展開新冠肺炎疫苗注射之後,可以透過智方便來存取「數碼針紙」。而在國外亦打算建立大規模的數碼針紙平台。美國時間 1 月 14 日一項名為 Vaccination Credential Initiative ( VCI )宣布成立,除了醫療相關的企業外, Microsoft 、 Oracle 、 Salesforce 等科企都有加入,希望政府機構、醫療機構和航空公司可以合作,開發一套電子證明卡。

    早兩日 Wi-Fi 採用的保安協定 WPA2 被發現有漏洞,已經令人心惶惶,但其實同日還有另一單漏洞事件被發現,那就是一間著名保安晶片生產商 Infineon Technologies 所生產的保安晶片被發現存在漏洞,駭客可以取得加密時所用的 RSA 私有鍵!
    Infineon Technologies 供應保安晶片給不少大生產商,當中包括 Microsoft 、 Google 、 Lenovo 等,而米國保安機構 CERT/CC 就在日前發出報告,指該公司的保安晶片存在漏洞,指駭客可以輕易取得晶片裡的 RSA 密鍵,並指各大廠商經已就這問題開始推出靭體更新。

    保安晶片供應商 Infineon Technologies 的函式庫出漏洞,裝有該公司晶片的 Chromebook 均告中招
    保安晶片供應商 Infineon Technologies 的函式庫出漏洞,裝有該公司晶片的 Chromebook 均告中招

    據 CERT/CC 指出,Infineon RSA 函式庫版本 1.02.013 並沒有適當地生成 RSA 密鍵對,令到駭客只要憑著由這個函式庫產生的 RSA 公開鍵,就可以將 RSA 私有鍵計算出來,令加密形同虛設。這個漏洞在評價危險程度的 CVSS 系統中被評為 8.8 分(最嚴重為 10 分),意味著嚴重程度很高。
    CERT/CC 公布已確認中招的生產商名單
    CERT/CC 公布已確認中招的生產商名單

    據知,使用了有問題 RSA 函式庫的可信賴平台模組( TPM )保安晶片和智能卡被多間智能產品生產商廣泛應用。據 ASUS 的網站指出:「配備 TPM 的電腦可以建立僅能由 TPM 解密的加密金鑰。TPM 會用自己的儲存金鑰「包裝」加密金鑰,此金鑰存放在 TPM 內。將金鑰儲存在 TPM 微晶片上而不是硬碟中,能夠提供更佳的防護,以防止想要公開加密金鑰的攻擊。」
    在 CERT/CC 公開的報告中就指 Microsoft 、 Google 、 富士通 、 HP Enterprise 和 Lenovo 等公司的產品,均已確認受這個漏洞影響。 Google 方面就使用了 Infineon 的 TPM 晶片在 Chromebook 上,該公司已經推出了靭體更新檔修正問題。 Microsoft 方面,就已經在 10 月 10 日的更新中修正了有關漏洞。富士通方面就表示會在 10 月底開始靭體更新。
    Chromium OS 經已推出修正檔補救
    Chromium OS 經已推出修正檔補救

    無論 Wi-Fi WPA2 加密協議漏洞也好,這次保安晶片漏洞也好,對應的方法都是更新靭體,大家可不要疏忽啊!

    您會感興趣的內容

    相關文章