安全公告-关于美国黑帽大会上提及安卓指纹识别存在信息泄露安全漏洞的声明
- 初始发布时间: 2015-08-08
- 更新发布时间: 2015-08-19
华为注意到2015年8月7日的美国黑帽大会上Fireye团队的Yulong Zhang和Tao Wei发表了“Fingerprints on Mobile Devices: Abusing and Leaking”议题,指出当前的安卓指纹识别架构中存在信息泄露的安全漏洞。华为在第一时间启动了分析调查。
相关的调查工作已经完成。华为手机指纹均采用Trustzone安全保护,在设计和实现方式上与其他手机厂商并不相同。华为手机指纹的处理以及匹配等操作均在Trustzone的TEE可信环境中进行,指纹模块通过Trustzone来进行安全存储,外部的数据读取接口已经禁止。所以华为手机不受Fireye演讲中漏洞的影响。
Fireye的议题中提及了黑帽大会中另外一个议题“Attacking Your Trusted Core: Exploiting Trustzone on Android”中的Trustzone漏洞。该漏洞为360手机卫士安全团队申迪发现,并在会前报告给了华为。华为已完成修复,并发布了安全公告(Security Notice)和预警(Security Advisory)。
相关安全公告链接: http://www.huawei.com/cn/security/psirt/security-bulletins/security-notices/hw-433720.htm
相关安全预警链接: http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-432807.htm。
相关的调查工作已经完成。华为手机指纹均采用Trustzone安全保护,在设计和实现方式上与其他手机厂商并不相同。华为手机指纹的处理以及匹配等操作均在Trustzone的TEE可信环境中进行,指纹模块通过Trustzone来进行安全存储,外部的数据读取接口已经禁止。所以华为手机不受Fireye演讲中漏洞的影响。
Fireye的议题中提及了黑帽大会中另外一个议题“Attacking Your Trusted Core: Exploiting Trustzone on Android”中的Trustzone漏洞。该漏洞为360手机卫士安全团队申迪发现,并在会前报告给了华为。华为已完成修复,并发布了安全公告(Security Notice)和预警(Security Advisory)。
相关安全公告链接: http://www.huawei.com/cn/security/psirt/security-bulletins/security-notices/hw-433720.htm
相关安全预警链接: http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-432807.htm。
2015-08-19 UPDATED 增加调查结果
2015-08-08 INITIAL
2015-08-08 INITIAL
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。若您在华为的产品中发现任何安全问题,请通过下列邮箱地址报告给华为 psirt@huawei.com。
