大疆、高通同时泄密，代码漏洞并不只与程序员有关

李云龙说：凡事就怕有内奸。

4月28日，深圳法院对大疆源代码泄露案作出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑6个月，并处罚金 20万元人民币。

大疆一直都是无人机的龙头品牌，如今，不论是专业摄影师还是业余爱好者，有一台无人机都是他们的标配。

去年，大疆完成了一轮10亿美元的融资，估值更是超过了150亿美元，其在互联网影像设备上的潜力被市场普遍看好。

不过存在代码的地方就会有漏洞，这次的代码泄露案最早可以追溯到2017年。

大疆曾于2017年8月推出漏洞悬赏计划，奖金金额从100-30,000美元不等，涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。

大疆漏洞悬赏计划公开发布后，有个安全研究员Kevin Finisterr发现了大疆一个非常严重的漏洞。Kevin和大疆先确认他发现的漏洞属于悬赏计划，然后和搭档整理出一份长达31页的漏洞报告。

Kevin在报告中透露，他们是从GitHub上的公开代码仓库发现了大疆的SSL私钥和AES私钥。

攻击者能利用公开的私钥，访问存储在大疆服务器上的客户敏感信息，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载泄露。

为什么如此17年检测的漏洞，为什么会在19年浮出水面呢？

2019年4月22日，某站源码在GitHub突然被开源，虽然GitHub站方出面封掉了首个暴露的代码库，但后续还是有很多人继续主动在GitHub新建代码仓库公开传播某站后台源码。

今天来看似是个开源学习案例，都是商业公司源码在GitHub被开源泄露了。

大疆程序员在GitHub公开代码

大疆在经过一番调查之后发现，这一漏洞是大疆的一名前员工通过一个计算机指令、将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传到了CitHub网站的“公有代码仓库”。因此，造成了源代码的泄露。

案发后，该员工第一时间在GitHub上删除了相关代码仓库，并积极配合调查，防止事态扩大。他在给Kevin的邮件中表示，“无意泄露了大疆的机密”、“我很后悔自己没有法律意识，我愿意承担相应的法律责任。”

Kevin在推特公布泄密员工发给他的邮件
尽管做了积极的补救，还有很多人在GitHub上把登录信息和明文密码也都一起开源的。

2019年4月27日，在 GitHub上搜索remove password，有484,260条commit 记录。

由于大疆被泄露出去的代码属于非公知性，并且已经用于大疆的农业无人机产品，隶属商业机密。尽管大疆公司采取了合理的保密措施，依旧导致本次泄露对大疆造成了116.4万元人民币的经济损失。

不仅天上的无人机
就连手里攥的手机也不安全了
这是一个编号为CVE-2018-11976的漏洞。NCC Group在去年3月发现并第一时间通知了高通。

NCC Group资深安全顾问Keegan Ryan称，该漏洞允许黑客通过椭圆曲线数码签章算法推测出QSEE（高通芯片安全执行环境）中以ECDSA加密的224位与256位的金钥。

QSEE源自ARMTrustZone，该技术与Cortex?-A处理器紧密集成，并通过AMBA?AXI总线和特定的TrustZone系统IP块在系统中进行扩展。

此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设，从而可确保它们免遭软件攻击。

正常来说，按照TrustZone Ready Program建议开发并利用TrustZone技术的设备提供了能够支持完全可信执行环境(TEE)以及安全感知应用程序和安全服务的平台。

但是，Ryan认为ECDSA签章其实是在处理随机数值的乘法回圈，一旦黑客反向恢复这个随机数值，就可以通过既有技术复原完整私钥。

实际上，Ryan证明了有两个区域极易泄露这些随机数值的少数位，并且还绕过了这两个区域的对抗旁路攻击机制，成功恢复了Nexus5X手机上所存放的256位私钥。

高通安全公告显示，CVE-2018-11976被高通列为重大漏洞，其可能影响40款高通芯片，涉及Android手机及其他产品多达数十亿台。

虽然高通已于2018年10月通知了客户，并向厂商提供了安全补丁，但直到今年4月这个漏洞的修复才最终完成。

以下是nccgroup网站关于此漏洞从发现到修复的时间表：

2018年3月19日：发现漏洞，联系高通产品安全部门2018年4月：请求更新问题分析
2018年5月：高通确认了这个问题，并开始着手修复
2018年7月：要求更新修复;高通回应修复正在进行内部审查
2018年11月：要求更新披露时间表;高通回应已于10月向客户通知，开始为期6个月的运营商重新认证流程。同意2019年4月披露日期。
2019年4月：对外信息披露。

尽管高通的芯片泄密已经完成补救，大疆无人机的隐患也只是商业个案，但代码带来的漏洞并不只与程序员有关。

[url=http://mp.weixin.qq.com/s?__biz=MzUxMDk2MDgxOQ==&mid=2247491886&idx=1&sn=1ddb0229c82b08c4152f8a71249d96f6&chksm=f97854f2ce0fdde4e513c965d1dd494b1552bb3c9ec3b8ced52daeb1fcd15fcd36a655e9a24a&scene=21#wechat_redirect][/url]

大疆、高通同时泄密，代码漏洞并不只与程序员有关

浏览过的版块