近日，網(wǎng)絡(luò )安全供應商 Check Point 發(fā)表了聲明，說(shuō)該公司在一項代號為“Achilles”研究中，對高通驍龍的數字信號處理（DSP）芯片進(jìn)行了廣泛的安全性評估，發(fā)現其中存在大量漏洞，總數多達400多。

研究人員表示，由于易受攻擊的DSP芯片“幾乎見(jiàn)于世界上所有的安卓手機上”，導致全球受此漏洞影響的機型超過(guò)40%，其中不乏有全球知名品牌手機。

報告中指出，攻擊者利用這些漏洞不僅可以將手機變成一個(gè)完美的監聽(tīng)工具，而且還能夠使手機持續無(wú)響應，或者鎖定手機上的所有信息，使用戶(hù)永遠不可訪(fǎng)問(wèn)。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動(dòng)。

目前，高通已發(fā)表聲明確認這些漏洞的存在并發(fā)布了修復程序，建議用戶(hù)僅從受信任的位置安裝應用。但考慮到受這些漏洞影響的設備數量和安卓機更新速度，該補丁在短時(shí)間內很難輕松地到達所有設備，這意味著(zhù)安全問(wèn)題仍會(huì )出現。

DSP是什么？

DSP 芯片是手機中的一種輔助芯片，主要負責處理音頻、視頻和圖像數據；出現在大多數現代手機中，并隨高通的驍龍處理器一起提供。

而這家安全機構發(fā)現該芯片中存在 400 多個(gè)易受攻擊的代碼段，這意味著(zhù)什么呢？

我們來(lái)看一組今年第二季度中國智能手機市場(chǎng)的數據。

由于今年聯(lián)發(fā)科特別給力，以38.3%的市場(chǎng)份額險勝高通的37.8%，而第三名則是華為旗下的海思麒麟芯片，占據了21.8%的市場(chǎng)份額。

換句話(huà)說(shuō)，也就是中國有37.8% 的用戶(hù)設備將受到該漏洞影響，面臨被黑客入侵的風(fēng)險。不論你是三星、小米、一加還是OPPO、VIVO，你都跑不掉。

芯片漏洞堪比千年蟲(chóng)，危及全球企業(yè)和個(gè)人云數據

近年來(lái)，芯片漏洞事件頻發(fā)，早在2018年2月，互聯(lián)網(wǎng)就爆出了幾乎席卷整個(gè)IT產(chǎn)業(yè)的芯片漏洞事件——英特爾嚴重安全漏洞事件。

事情是這樣的，2017年，Google旗下的ProjectZero團隊發(fā)現了一些由CPU Speculative Execution引發(fā)的芯片級漏洞，“Spectre”（幽靈）（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（熔斷）（變體3：CVE-2017-5754），這三個(gè)漏洞都是先天性質(zhì)的架構設計缺陷導致的，可以讓非特權用戶(hù)訪(fǎng)問(wèn)到系統內存從而讀取敏感信息。

2017年6月1日，Project Zero安全團隊的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體The Register在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問(wèn)題浮出水面，也讓英特爾陷入一場(chǎng)突如其來(lái)的危機，導致股價(jià)下跌。

芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場(chǎng)份額占絕對優(yōu)勢的英特爾拋到輿論漩渦中，也引起大家對安全問(wèn)題的擔憂(yōu)。人們不禁要問(wèn)，芯片漏洞問(wèn)題早已發(fā)現，為什么到才被公布？是英特爾有意隱瞞嗎？

盡管英特爾正在竭盡全力修復這些漏洞，然而這似乎打開(kāi)了一個(gè)“潘多拉的魔盒”：英特爾芯片安全漏洞問(wèn)題接二連三地浮出水面。

5月14日，英特爾再次爆出一組新的嚴重芯片漏洞，官方命名為“微架構數據采樣漏洞（Microarchitectural Data Sampling，簡(jiǎn)稱(chēng)MDS）”，漏洞發(fā)現者將MDS包含的三種類(lèi)型的漏洞分別命名為“僵尸裝載（ZombieLoad）”“放射性浮塵（Fallout）”和“飛行中的數據流氓（Rogue in-flight Data Load）”。

從媒體披露的情況來(lái)看，1995年以來(lái)大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統。研究者稱(chēng)，它們將會(huì )影響全球數百萬(wàn)部計算機和電子產(chǎn)品，搭載了2011 年之后出廠(chǎng)的英特爾芯片的設備無(wú)一幸免。

雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細節的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、云服務(wù)器等終端設備都受上述漏洞的影響。

這是跨廠(chǎng)商、跨國界、跨架構、跨操作系統的重大漏洞事件，幾乎席卷了整個(gè)IT產(chǎn)業(yè)。

安全事件之后的防漏洞產(chǎn)業(yè)鏈正在形成

不論是近日發(fā)生的高通DSP芯片漏洞，還是兩年前震驚全球的英特爾芯片漏洞，都暴露出，現在互聯(lián)網(wǎng)信息發(fā)達的另一面是網(wǎng)絡(luò )信息安全隱患之深。

事實(shí)上，漏洞本身并不會(huì )造成危害，可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經(jīng)濟利益訴求，攻擊者往往會(huì )在未經(jīng)授權的情況下，利用這些漏洞訪(fǎng)問(wèn)網(wǎng)絡(luò )，竊取數據或操控數據，以及癱瘓網(wǎng)絡(luò )的功能，從而獲取經(jīng)濟利益和隱私數據。

有隱患就有對策，安全漏洞已成為重大信息安全事件的主要原因之一，頻發(fā)的安全漏洞事件更是讓全球關(guān)注達到了空前的高度，自然而然催生出全球漏洞市場(chǎng)。

同時(shí)，位于前端的廠(chǎng)商、上游漏洞發(fā)現、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成，以此達到防御黑客攻擊的目的。

作為漏洞產(chǎn)業(yè)的核心樞紐，以政府漏洞庫為代表的漏洞平臺發(fā)揮著(zhù)巨大的價(jià)值，是衡量漏洞危險程度的重要標準。

在我國，由國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心(CNCERT)聯(lián)合國內重要信息系統單位、基礎電信運營(yíng)商、網(wǎng)絡(luò )安全廠(chǎng)商、軟件廠(chǎng)商和互聯(lián)網(wǎng)企業(yè)建立的國家網(wǎng)絡(luò )安全漏洞庫，進(jìn)行統一收集驗證、預警發(fā)布及應急處置體系，切實(shí)提升在安全漏洞方面的整體研究水平和及時(shí)預防能力。

軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭，如何在前期快速識別和修補漏洞就顯得尤為重要。目前，國內外各大安全廠(chǎng)商、白帽黑客、以及研究/測評機構在漏洞挖掘及防御方面貢獻了不小的力量。

作為致力于信息安全和數據處理領(lǐng)域的企業(yè)，中科信安為廣大用戶(hù)提供高效、安全的數據處理解決方案。隨著(zhù)當前產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的到來(lái)，護航產(chǎn)業(yè)數字化變革、守護廣大用戶(hù)的信息安全成為了中科信安的使命。

當前，以人工智能、云計算、區塊鏈等為代表的新技術(shù)基礎設施將進(jìn)一步融入數字社會(huì )，漏洞產(chǎn)業(yè)或將面臨全新挑戰的同時(shí)，必然也會(huì )保持高速發(fā)展，相信未來(lái)漏洞產(chǎn)業(yè)鏈也將涌現更多的業(yè)務(wù)模式和服務(wù)形態(tài)，來(lái)助力產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代安全建設。