IT之家 5 月 3 日消息，柏林工業(yè)大學(xué)的網(wǎng)絡(luò)安全專家近日發(fā)布報(bào)告，稱 AMD 平臺(tái)上的可信平臺(tái)模塊（TPM）存在漏洞，通過(guò)惡意 TPM 電源短路攻擊方式，完全訪問加密數(shù)據(jù)。

　　這意味著包括專門依賴 TPM 的密碼管理工具 BitLocker 在內(nèi)，黑客可以完全破壞任何應(yīng)用程序或加密。

　　研究人員報(bào)告稱，該漏洞存在于 Zen 2 和 Zen 3 處理器中的平臺(tái)安全處理器（Platform Security Processor，簡(jiǎn)稱 PSP）上，但報(bào)告中并未提及 Zen 4 是否也同樣存在該漏洞。

　　研究人員在 GitHub 上發(fā)布了用于攻擊的代碼和所需設(shè)備的清單，成本約 200 美元（IT之家備注：當(dāng)前約 1384 元人民幣），整個(gè)破解過(guò)程需要“數(shù)小時(shí)”。

　　專家們使用了聯(lián)想的測(cè)試筆記本電腦，他們將使用過(guò)的設(shè)備物理連接到電源、BIOS SPI 芯片和 SVI2 總線（電源管理接口）。該攻擊針對(duì) Zen 2 和 Zen 3 處理器中存在的 PSP 安全協(xié)處理器，以獲取允許解密存儲(chǔ)在 TPM 中的對(duì)象的數(shù)據(jù)。成功提取“密鑰”。

　　默認(rèn)情況下，BitLocker 僅使用 TPM 機(jī)制來(lái)存儲(chǔ)密鑰，但用戶可以分配一個(gè)與基于 TPM 的機(jī)制一起工作的 PIN。這提供了多層保護(hù)，但是這些 PIN 默認(rèn)情況下未啟用，并且容易受到暴力攻擊。

　　英特爾處理器不受影響，AMD 在發(fā)送給 Tom's Hardware 的聲明如下：

AMD 從這份可信平臺(tái)模塊的研究報(bào)告中獲悉，似乎利用了之前在 ACM CCS 2021 上討論過(guò)的相關(guān)漏洞。 這需要通過(guò)物理方式進(jìn)行攻擊，通常在處理器架構(gòu)安全緩解措施的范圍之外。 我們?cè)谖磥?lái)的產(chǎn)品中不斷創(chuàng)新基于硬件的新保護(hù)措施，以限制這些技術(shù)的功效。 我們正在努力了解潛在的新威脅，會(huì)及時(shí)向我們的客戶和終端用戶提供最新動(dòng)態(tài)以及更新內(nèi)容。