近日，清華大學(xué)計(jì)算機(jī)系教授汪東升團(tuán)隊(duì)發(fā)現(xiàn)了ARM和Intel等處理器電源管理機(jī)制存在嚴(yán)重安全漏洞——“騎士”。這意味著普通人的支付密碼等隨時(shí)存在被泄露的風(fēng)險(xiǎn)。

據(jù)中國(guó)青年報(bào)報(bào)道，汪東升表示，2018年引起轟動(dòng)的“熔斷”和“幽靈”漏洞出現(xiàn)在處理器高性能處理模塊，而此次發(fā)現(xiàn)的“騎士”漏洞則隱藏在普遍使用的低功耗動(dòng)態(tài)電源管理單元。

ARM和INTEL等處理器芯片目前被廣泛應(yīng)用于手機(jī)等消費(fèi)類電子以及數(shù)據(jù)中心和云端等關(guān)鍵設(shè)備上。這些芯片提供的“可信執(zhí)行環(huán)境”等硬件安全技術(shù)被認(rèn)為為需要保密操作(如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等)的安全執(zhí)行提供了有力保障。

據(jù)介紹，通過(guò)“騎士”漏洞，黑客可以突破原有安全區(qū)限制，獲取智能設(shè)備核心秘鑰，直接運(yùn)行非法程序。與其他漏洞需要借助外部鏈接或者其他軟件，才能夠?qū)﹄娮釉O(shè)備進(jìn)行攻擊不同，此次發(fā)現(xiàn)的漏洞，從本質(zhì)上講，黑客不需要借助任何外部程序或者鏈接，就可以直接獲取用戶的安全密鑰。

黑客可以突破原有安全區(qū)限制，這些芯片提供的可信執(zhí)行環(huán)境等硬件安全技術(shù)被認(rèn)為為需要保密操作(如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等)的安全執(zhí)行提供了有力保障， 通過(guò)騎士漏洞，指導(dǎo)教師為汪東升、呂勇強(qiáng)以及美國(guó)馬里蘭大學(xué)教授屈鋼，直接運(yùn)行非法程序。