0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一家硬件安全模块供应商存在漏洞,黑客可远程控制HSM

pIuy_EAQapp 来源:YXQ 2019-06-12 15:12 次阅读

据外媒报道,两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM(硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息

HSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件,但实际非常常见,今天的许多硬件钱包基本上都是经过设计的HSM。

在一家HSM供应商中发现远程攻击

上周在法国举行的一次安全会议上,硬件钱包制造商Ledger的两名安全研究人员披露了一家HSM主要供应商的几个漏洞细节。他们计划在8月于美国举行的黑帽安全会议上发表他们的研究成果。

根据即将发表的报告摘要,研究人员发现,漏洞允许未经身份验证的远程攻击者完全控制该供应商的HSM。研究人员表示,这些攻击允许远程检索所有HSM机密,其中包括加密密钥和管理员凭证。此外,两人还表示,他们可以利用固件签名验证中的一个密码漏洞,将修改后的固件上传到HSM,而这个固件包括一个在固件更新后仍然存在的持久后门。

供应商名称不详

研究人员将调查结果报告给了HSM制造商,制造商随后发布了带有安全补丁的固件更新。他们并没有透露供应商的名字,但Cryptosense安全审计软件的团队指出,供应商可能是Gemalto。Gemalto上月发布了Sentinel LDK的安全更新,这是一种用于管理HSM组件上硬件密钥的API。

Cryptosense团队指出,Ledger研究团队使用的攻击方法并不特别新颖,其他人很可能已经发现了这些安全漏洞。国家级情报机构中资金充足的漏洞研究团队也可以开展类似的工作,发现这次攻击。攻击中最令人担忧的部分是持久性的后门,黑客可能会在包含类似后门的关键基础设施中部署恶意HSM。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 黑客
    +关注

    关注

    3

    文章

    284

    浏览量

    21858

原文标题:一家HSM供应商的产品存在严重漏洞,敏感信息易被窃取

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    3分钟即被远程控制!智驾安全如何保证?

    2024年10月24日,在GEEKCON大会上,安全团队通过现场演示的方式展示了如何破解辆智能汽车的防护系统,利用远程控制手段解锁并启动了车辆。该演示揭示了智能汽车在车联网系统中
    的头像 发表于 10-28 09:29 274次阅读
    3分钟即被<b class='flag-5'>远程控制</b>!智驾<b class='flag-5'>安全</b>如何保证?

    普通空开怎样远程控制断电

    在现代家庭和工业环境中,电力安全至关重要。普通空气开关(以下简称空开)作为电路保护的基本元件,虽然能够有效防止电路过载和短路,但其功能相对单,无法满足远程控制的需求。 1. 远程控制
    的头像 发表于 10-17 14:02 561次阅读

    荷兰芯片设备供应商NTS在新加坡开设工厂

    荷兰半导体设备供应商NTS近日在新加坡正式开设了一家新的组装和制造工厂,标志着该公司在亚洲市场的进步拓展。
    的头像 发表于 10-10 17:22 521次阅读

    经纬恒润正式发布HSM固件解决方案,适配瑞萨RH850-U2A/B系列芯片

    (HardwareSecurityModule,硬件安全模块)固件产品。经纬恒润基于瑞萨RH850-U2A/B系列芯片开发的HSM固件本次发布的HSM固件能够切实满足各种
    的头像 发表于 09-13 08:00 580次阅读
    经纬恒润正式发布<b class='flag-5'>HSM</b>固件解决方案,适配瑞萨RH850-U2A/B系列芯片

    android 远程控制如何实现

    在现代工作和生活中,远程控制安卓设备或使用安卓设备远程控制其他设备已成为常见需求。安卓远程控制允许IT管理员远程访问安卓设备。实施远程控制
    的头像 发表于 08-21 18:05 893次阅读
    android <b class='flag-5'>远程控制</b>如何实现

    teamviewer内网远程控制外网

    在企业内网环境中,安全性、稳定性和性能是企业用户关注的重点。然而,许多远程控制软件在内网应用中存在限制,无法满足企业的特殊需求。比如知名的远程控制软件 TeamViewer,其功能强大
    的头像 发表于 08-16 20:46 1425次阅读

    美国半导体设备供应商汇总(92

    虽然目前全球营收最大的半导体设备供应商ASML是荷兰的公司,但如果以为国家为单位,毫无疑问,美国目前依旧是世界第的半导体设备供应大国在常年排名营收前十的半导体设备公司里,美国公司就有应用材
    的头像 发表于 07-30 17:08 1604次阅读
    美国半导体设备<b class='flag-5'>供应商</b>汇总(92<b class='flag-5'>家</b>)

    Microchip推出搭载硬件安全模块的PIC32CK 32位单片机

    为了满足开发人员对于嵌入式安全解决方案的迫切需求,Microchip Technology(微芯科技公司)最近发布了全新的PIC32CK 32位单片机(MCU)系列。这款新型MCU系列将硬件安全模块
    的头像 发表于 05-09 14:26 524次阅读

    信捷plc远程控制怎么实现?如何远程修改程序?

    怎么实现?如何远程修改程序? 利用物通博联PLC远程模块将信捷PLC接入网络,实现与远程控制中心的无线连接,无需布线,工程师可以随时随地远程控制
    的头像 发表于 02-22 16:02 1379次阅读
    信捷plc<b class='flag-5'>远程控制</b>怎么实现?如何<b class='flag-5'>远程</b>修改程序?

    闸门改造远程控制系统

    智能改造闸门主要是针对老式非智能闸门进行智能化改造,使其具备测控体化闸门的功能要求,即实现现场对闸门进行控制,也远程控制闸门启闭,另外
    的头像 发表于 02-22 11:06 818次阅读
    闸门改造<b class='flag-5'>远程控制</b>系统

    英飞凌再添一家SiC晶圆供应商

    近日,英飞凌与SiC晶圆供应商韩国SK Siltron公司的子公司SK Siltron CSS正式签署了项协议。
    的头像 发表于 01-19 10:00 600次阅读

    高端封装基板供应商芯爱科技完成新轮融资

    芯爱科技,作为一家高端封装基板供应商,近日宣布完成了新轮融资,累计获得社会资本超过25亿元人民币。这轮融资吸引了众多知名投资机构的参与,包括比亚迪、越秀产业基金、阳光融汇资本、高远
    的头像 发表于 01-18 15:53 895次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,
    的头像 发表于 01-18 14:26 678次阅读

    TC233/TC234系列中的HSM硬件支持哪些加密算法?

    你好,我正在寻找有关TC233/TC234微控制器及其TC2x和TC3x变体中硬件安全模块HSM)功能的些详细信息。 如果您能协助澄清以
    发表于 01-18 10:33