近日，網(wǎng)絡(luò)安全供應(yīng)商 Check Point 發(fā)表了聲明，說(shuō)該公司在一項(xiàng)代號(hào)為“Achilles”研究中，對(duì)高通驍龍的數(shù)字信號(hào)處理（DSP）芯片進(jìn)行了廣泛的安全性評(píng)估，發(fā)現(xiàn)其中存在大量漏洞，總數(shù)多達(dá)400多。

研究人員表示，由于易受攻擊的DSP芯片“幾乎見(jiàn)于世界上所有的安卓手機(jī)上”，導(dǎo)致全球受此漏洞影響的機(jī)型超過(guò)40%，其中不乏有全球知名品牌手機(jī)。

報(bào)告中指出，攻擊者利用這些漏洞不僅可以將手機(jī)變成一個(gè)完美的監(jiān)聽(tīng)工具，而且還能夠使手機(jī)持續(xù)無(wú)響應(yīng)，或者鎖定手機(jī)上的所有信息，使用戶(hù)永遠(yuǎn)不可訪(fǎng)問(wèn)。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動(dòng)。

目前，高通已發(fā)表聲明確認(rèn)這些漏洞的存在并發(fā)布了修復(fù)程序，建議用戶(hù)僅從受信任的位置安裝應(yīng)用。但考慮到受這些漏洞影響的設(shè)備數(shù)量和安卓機(jī)更新速度，該補(bǔ)丁在短時(shí)間內(nèi)很難輕松地到達(dá)所有設(shè)備，這意味著安全問(wèn)題仍會(huì)出現(xiàn)。

DSP是什么？

DSP 芯片是手機(jī)中的一種輔助芯片，主要負(fù)責(zé)處理音頻、視頻和圖像數(shù)據(jù)；出現(xiàn)在大多數(shù)現(xiàn)代手機(jī)中，并隨高通的驍龍?zhí)幚砥饕黄鹛峁?/p>

而這家安全機(jī)構(gòu)發(fā)現(xiàn)該芯片中存在 400 多個(gè)易受攻擊的代碼段，這意味著什么呢？

我們來(lái)看一組今年第二季度中國(guó)智能手機(jī)市場(chǎng)的數(shù)據(jù)。

由于今年聯(lián)發(fā)科特別給力，以38.3%的市場(chǎng)份額險(xiǎn)勝高通的37.8%，而第三名則是華為旗下的海思麒麟芯片，占據(jù)了21.8%的市場(chǎng)份額。

換句話(huà)說(shuō)，也就是中國(guó)有37.8% 的用戶(hù)設(shè)備將受到該漏洞影響，面臨被黑客入侵的風(fēng)險(xiǎn)。不論你是三星、小米、一加還是OPPO、VIVO，你都跑不掉。

芯片漏洞堪比千年蟲(chóng)，危及全球企業(yè)和個(gè)人云數(shù)據(jù)

近年來(lái)，芯片漏洞事件頻發(fā)，早在2018年2月，互聯(lián)網(wǎng)就爆出了幾乎席卷整個(gè)IT產(chǎn)業(yè)的芯片漏洞事件——英特爾嚴(yán)重安全漏洞事件。

事情是這樣的，2017年，Google旗下的ProjectZero團(tuán)隊(duì)發(fā)現(xiàn)了一些由CPU Speculative Execution引發(fā)的芯片級(jí)漏洞，“Spectre”（幽靈）（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（熔斷）（變體3：CVE-2017-5754），這三個(gè)漏洞都是先天性質(zhì)的架構(gòu)設(shè)計(jì)缺陷導(dǎo)致的，可以讓非特權(quán)用戶(hù)訪(fǎng)問(wèn)到系統(tǒng)內(nèi)存從而讀取敏感信息。

2017年6月1日，Project Zero安全團(tuán)隊(duì)的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體The Register在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問(wèn)題浮出水面，也讓英特爾陷入一場(chǎng)突如其來(lái)的危機(jī)，導(dǎo)致股價(jià)下跌。

芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場(chǎng)份額占絕對(duì)優(yōu)勢(shì)的英特爾拋到輿論漩渦中，也引起大家對(duì)安全問(wèn)題的擔(dān)憂(yōu)。人們不禁要問(wèn)，芯片漏洞問(wèn)題早已發(fā)現(xiàn)，為什么到才被公布？是英特爾有意隱瞞嗎？

盡管英特爾正在竭盡全力修復(fù)這些漏洞，然而這似乎打開(kāi)了一個(gè)“潘多拉的魔盒”：英特爾芯片安全漏洞問(wèn)題接二連三地浮出水面。

5月14日，英特爾再次爆出一組新的嚴(yán)重芯片漏洞，官方命名為“微架構(gòu)數(shù)據(jù)采樣漏洞（Microarchitectural Data Sampling，簡(jiǎn)稱(chēng)MDS）”，漏洞發(fā)現(xiàn)者將MDS包含的三種類(lèi)型的漏洞分別命名為“僵尸裝載（ZombieLoad）”“放射性浮塵（Fallout）”和“飛行中的數(shù)據(jù)流氓（Rogue in-flight Data Load）”。

從媒體披露的情況來(lái)看，1995年以來(lái)大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。研究者稱(chēng)，它們將會(huì)影響全球數(shù)百萬(wàn)部計(jì)算機(jī)和電子產(chǎn)品，搭載了2011 年之后出廠(chǎng)的英特爾芯片的設(shè)備無(wú)一幸免。

雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機(jī)、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。

這是跨廠(chǎng)商、跨國(guó)界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個(gè)IT產(chǎn)業(yè)。

安全事件之后的防漏洞產(chǎn)業(yè)鏈正在形成

不論是近日發(fā)生的高通DSP芯片漏洞，還是兩年前震驚全球的英特爾芯片漏洞，都暴露出，現(xiàn)在互聯(lián)網(wǎng)信息發(fā)達(dá)的另一面是網(wǎng)絡(luò)信息安全隱患之深。

事實(shí)上，漏洞本身并不會(huì)造成危害，可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經(jīng)濟(jì)利益訴求，攻擊者往往會(huì)在未經(jīng)授權(quán)的情況下，利用這些漏洞訪(fǎng)問(wèn)網(wǎng)絡(luò)，竊取數(shù)據(jù)或操控?cái)?shù)據(jù)，以及癱瘓網(wǎng)絡(luò)的功能，從而獲取經(jīng)濟(jì)利益和隱私數(shù)據(jù)。

有隱患就有對(duì)策，安全漏洞已成為重大信息安全事件的主要原因之一，頻發(fā)的安全漏洞事件更是讓全球關(guān)注達(dá)到了空前的高度，自然而然催生出全球漏洞市場(chǎng)。

同時(shí)，位于前端的廠(chǎng)商、上游漏洞發(fā)現(xiàn)、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成，以此達(dá)到防御黑客攻擊的目的。

作為漏洞產(chǎn)業(yè)的核心樞紐，以政府漏洞庫(kù)為代表的漏洞平臺(tái)發(fā)揮著巨大的價(jià)值，是衡量漏洞危險(xiǎn)程度的重要標(biāo)準(zhǔn)。

在我國(guó)，由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠(chǎng)商、軟件廠(chǎng)商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù)，進(jìn)行統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系，切實(shí)提升在安全漏洞方面的整體研究水平和及時(shí)預(yù)防能力。

軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭，如何在前期快速識(shí)別和修補(bǔ)漏洞就顯得尤為重要。目前，國(guó)內(nèi)外各大安全廠(chǎng)商、白帽黑客、以及研究/測(cè)評(píng)機(jī)構(gòu)在漏洞挖掘及防御方面貢獻(xiàn)了不小的力量。

作為致力于信息安全和數(shù)據(jù)處理領(lǐng)域的企業(yè)，中科信安為廣大用戶(hù)提供高效、安全的數(shù)據(jù)處理解決方案。隨著當(dāng)前產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的到來(lái)，護(hù)航產(chǎn)業(yè)數(shù)字化變革、守護(hù)廣大用戶(hù)的信息安全成為了中科信安的使命。

當(dāng)前，以人工智能、云計(jì)算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施將進(jìn)一步融入數(shù)字社會(huì)，漏洞產(chǎn)業(yè)或?qū)⒚媾R全新挑戰(zhàn)的同時(shí)，必然也會(huì)保持高速發(fā)展，相信未來(lái)漏洞產(chǎn)業(yè)鏈也將涌現(xiàn)更多的業(yè)務(wù)模式和服務(wù)形態(tài)，來(lái)助力產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代安全建設(shè)。