近日，網(wǎng)絡(luò)安全供應(yīng)商 Check Point 發(fā)表了聲明，說該公司在一項代號為“Achilles”研究中，對高通驍龍的數(shù)字信號處理（DSP）芯片進(jìn)行了廣泛的安全性評估，發(fā)現(xiàn)其中存在大量漏洞，總數(shù)多達(dá)400多。

研究人員表示，由于易受攻擊的DSP芯片“幾乎見于世界上所有的安卓手機上”，導(dǎo)致全球受此漏洞影響的機型超過40%，其中不乏有全球知名品牌手機。

報告中指出，攻擊者利用這些漏洞不僅可以將手機變成一個完美的監(jiān)聽工具，而且還能夠使手機持續(xù)無響應(yīng)，或者鎖定手機上的所有信息，使用戶永遠(yuǎn)不可訪問。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動。

目前，高通已發(fā)表聲明確認(rèn)這些漏洞的存在并發(fā)布了修復(fù)程序，建議用戶僅從受信任的位置安裝應(yīng)用。但考慮到受這些漏洞影響的設(shè)備數(shù)量和安卓機更新速度，該補丁在短時間內(nèi)很難輕松地到達(dá)所有設(shè)備，這意味著安全問題仍會出現(xiàn)。

DSP是什么？

DSP 芯片是手機中的一種輔助芯片，主要負(fù)責(zé)處理音頻、視頻和圖像數(shù)據(jù)；出現(xiàn)在大多數(shù)現(xiàn)代手機中，并隨高通的驍龍?zhí)幚砥饕黄鹛峁?/p>

而這家安全機構(gòu)發(fā)現(xiàn)該芯片中存在 400 多個易受攻擊的代碼段，這意味著什么呢？

我們來看一組今年第二季度中國智能手機市場的數(shù)據(jù)。

由于今年聯(lián)發(fā)科特別給力，以38.3%的市場份額險勝高通的37.8%，而第三名則是華為旗下的海思麒麟芯片，占據(jù)了21.8%的市場份額。

換句話說，也就是中國有37.8% 的用戶設(shè)備將受到該漏洞影響，面臨被黑客入侵的風(fēng)險。不論你是三星、小米、一加還是OPPO、VIVO，你都跑不掉。

芯片漏洞堪比千年蟲，危及全球企業(yè)和個人云數(shù)據(jù)

近年來，芯片漏洞事件頻發(fā)，早在2018年2月，互聯(lián)網(wǎng)就爆出了幾乎席卷整個IT產(chǎn)業(yè)的芯片漏洞事件——英特爾嚴(yán)重安全漏洞事件。

事情是這樣的，2017年，Google旗下的ProjectZero團隊發(fā)現(xiàn)了一些由CPU Speculative Execution引發(fā)的芯片級漏洞，“Spectre”（幽靈）（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（熔斷）（變體3：CVE-2017-5754），這三個漏洞都是先天性質(zhì)的架構(gòu)設(shè)計缺陷導(dǎo)致的，可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息。

2017年6月1日，Project Zero安全團隊的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體The Register在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機，導(dǎo)致股價下跌。

芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場份額占絕對優(yōu)勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔(dān)憂。人們不禁要問，芯片漏洞問題早已發(fā)現(xiàn)，為什么到才被公布？是英特爾有意隱瞞嗎？

盡管英特爾正在竭盡全力修復(fù)這些漏洞，然而這似乎打開了一個“潘多拉的魔盒”：英特爾芯片安全漏洞問題接二連三地浮出水面。

5月14日，英特爾再次爆出一組新的嚴(yán)重芯片漏洞，官方命名為“微架構(gòu)數(shù)據(jù)采樣漏洞（Microarchitectural Data Sampling，簡稱MDS）”，漏洞發(fā)現(xiàn)者將MDS包含的三種類型的漏洞分別命名為“僵尸裝載（ZombieLoad）”“放射性浮塵（Fallout）”和“飛行中的數(shù)據(jù)流氓（Rogue in-flight Data Load）”。

從媒體披露的情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。研究者稱，它們將會影響全球數(shù)百萬部計算機和電子產(chǎn)品，搭載了2011 年之后出廠的英特爾芯片的設(shè)備無一幸免。

雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。

這是跨廠商、跨國界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個IT產(chǎn)業(yè)。

安全事件之后的防漏洞產(chǎn)業(yè)鏈正在形成

不論是近日發(fā)生的高通DSP芯片漏洞，還是兩年前震驚全球的英特爾芯片漏洞，都暴露出，現(xiàn)在互聯(lián)網(wǎng)信息發(fā)達(dá)的另一面是網(wǎng)絡(luò)信息安全隱患之深。

事實上，漏洞本身并不會造成危害，可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經(jīng)濟利益訴求，攻擊者往往會在未經(jīng)授權(quán)的情況下，利用這些漏洞訪問網(wǎng)絡(luò)，竊取數(shù)據(jù)或操控數(shù)據(jù)，以及癱瘓網(wǎng)絡(luò)的功能，從而獲取經(jīng)濟利益和隱私數(shù)據(jù)。

有隱患就有對策，安全漏洞已成為重大信息安全事件的主要原因之一，頻發(fā)的安全漏洞事件更是讓全球關(guān)注達(dá)到了空前的高度，自然而然催生出全球漏洞市場。

同時，位于前端的廠商、上游漏洞發(fā)現(xiàn)、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成，以此達(dá)到防御黑客攻擊的目的。

作為漏洞產(chǎn)業(yè)的核心樞紐，以政府漏洞庫為代表的漏洞平臺發(fā)揮著巨大的價值，是衡量漏洞危險程度的重要標(biāo)準(zhǔn)。

在我國，由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國家網(wǎng)絡(luò)安全漏洞庫，進(jìn)行統(tǒng)一收集驗證、預(yù)警發(fā)布及應(yīng)急處置體系，切實提升在安全漏洞方面的整體研究水平和及時預(yù)防能力。

軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭，如何在前期快速識別和修補漏洞就顯得尤為重要。目前，國內(nèi)外各大安全廠商、白帽黑客、以及研究/測評機構(gòu)在漏洞挖掘及防御方面貢獻(xiàn)了不小的力量。

作為致力于信息安全和數(shù)據(jù)處理領(lǐng)域的企業(yè)，中科信安為廣大用戶提供高效、安全的數(shù)據(jù)處理解決方案。隨著當(dāng)前產(chǎn)業(yè)互聯(lián)網(wǎng)時代的到來，護航產(chǎn)業(yè)數(shù)字化變革、守護廣大用戶的信息安全成為了中科信安的使命。

當(dāng)前，以人工智能、云計算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施將進(jìn)一步融入數(shù)字社會，漏洞產(chǎn)業(yè)或?qū)⒚媾R全新挑戰(zhàn)的同時，必然也會保持高速發(fā)展，相信未來漏洞產(chǎn)業(yè)鏈也將涌現(xiàn)更多的業(yè)務(wù)模式和服務(wù)形態(tài)，來助力產(chǎn)業(yè)互聯(lián)網(wǎng)時代安全建設(shè)。