“智能手機(jī)或電腦又發(fā)現(xiàn)了某個(gè)安全漏洞容易遭受黑客攻擊”,這類(lèi)警告對(duì)于信息時(shí)代的人們來(lái)說(shuō)已經(jīng)見(jiàn)怪不怪了。但近日掀起的一場(chǎng)芯片高危漏洞風(fēng)波,幾乎席卷所有電腦、服務(wù)器和智能手機(jī),時(shí)間跨度甚至超過(guò)20年,被業(yè)內(nèi)形容為“史上最嚴(yán)重的安全漏洞”。甚至有網(wǎng)友開(kāi)始質(zhì)疑,這個(gè)分布如此廣泛、延續(xù)時(shí)間如此長(zhǎng)的“漏洞”居然一直未被發(fā)現(xiàn),它到底只是設(shè)計(jì)問(wèn)題,還是某些國(guó)家暗藏的“后門(mén)”呢?
席卷全球的芯片風(fēng)波
美國(guó)“連線”雜志網(wǎng)站7日稱(chēng),最早曝光這個(gè)安全漏洞的是谷歌公司的技術(shù)團(tuán)隊(duì),主要涉及到芯片巨頭英特爾公司的產(chǎn)品。報(bào)道稱(chēng),由于英特爾芯片的底層技術(shù)存在缺陷,黑客可以利用這個(gè)漏洞讓惡意腳本直接讀取核心內(nèi)存,掠走隱秘信息。更可怕的是,利用這個(gè)漏洞,黑客在攻擊后不會(huì)留下痕跡,這與傳統(tǒng)病毒完全不同。
谷歌方面3日曝光這個(gè)消息后,英特爾股價(jià)大跌,競(jìng)爭(zhēng)對(duì)手、另一家芯片巨頭AMD公司的股價(jià)隨即上揚(yáng)。但很快英特爾和谷歌就相繼宣布,AMD、ARM等芯片存在同樣的安全漏洞,這意味著全球幾乎所有的個(gè)人電腦和服務(wù)器都“淪陷”了。
但這場(chǎng)風(fēng)波還遠(yuǎn)未停息。隨著越來(lái)越多計(jì)算機(jī)安全企業(yè)投入調(diào)查,智能手機(jī)芯片也宣告失守,蘋(píng)果、高通與IBM等公司均發(fā)表聲明,承認(rèn)其芯片也存在漏洞。目前的調(diào)查顯示,1995年以來(lái)大部分量產(chǎn)的處理器均有可能受該漏洞的影響,采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機(jī)、云服務(wù)器等終端設(shè)備都可能是受害者。中國(guó)國(guó)家信息安全漏洞共享平臺(tái)對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
修補(bǔ)漏洞不容易
“連線”雜志網(wǎng)站稱(chēng),早在2016年,就已有安全研究人員發(fā)現(xiàn)英特爾芯片存在的這種漏洞,但英特爾方面一直秘而不宣。報(bào)道稱(chēng),這有可能是英特爾正在試圖尋找解決方案,擔(dān)心還沒(méi)有防御手段時(shí)就過(guò)早公布漏洞的存在,會(huì)引起黑客的瘋狂攻擊。
360集團(tuán)技術(shù)總裁、首席安全官譚曉生8日告訴《環(huán)球時(shí)報(bào)》記者,芯片存在安全漏洞公布后,一些別有用心的人可能會(huì)趁機(jī)作亂。“但利用這個(gè)漏洞實(shí)現(xiàn)攻擊并非那么簡(jiǎn)單,需要配合其他漏洞才能實(shí)現(xiàn)攻擊,存在相當(dāng)?shù)募夹g(shù)難度。”他表示,目前尚未發(fā)現(xiàn)國(guó)內(nèi)有人利用這個(gè)漏洞成功實(shí)施惡意攻擊。
美聯(lián)社稱(chēng),個(gè)人電腦受這次芯片漏洞的影響明顯低于云服務(wù)器。譚曉生說(shuō),目前來(lái)看,芯片安全漏洞問(wèn)題的危害確實(shí)比較大,“我們一直在跟進(jìn),尋找修補(bǔ)方案。”他表示,目前能看到的應(yīng)急措施都是對(duì)問(wèn)題的緩解,而不能從根本上解決問(wèn)題。“緩解措施的意思是指漏洞依然存在,但是能讓惡意攻擊者的難度加大,但是這類(lèi)緩解措施的代價(jià)就是降低CPU的效率。”據(jù)彭博社報(bào)道,蘋(píng)果公司稱(chēng)這次曝光的安全漏洞與芯片設(shè)計(jì)基本架構(gòu)有關(guān),要完全屏蔽非常困難和復(fù)雜,新版攻擊代碼可能會(huì)繞過(guò)現(xiàn)有補(bǔ)丁軟件,竊取存儲(chǔ)在芯片和內(nèi)存中的機(jī)密信息。
與依靠補(bǔ)丁升級(jí)就能解決的普通軟件漏洞相比,底層硬件漏洞無(wú)法實(shí)現(xiàn)遠(yuǎn)程化一健修復(fù),需要用戶本地化操作,解決起來(lái)也復(fù)雜得多。目前全球各家芯片廠商、操作系統(tǒng)廠商、瀏覽器廠商以及云服務(wù)廠商,都已先后作出回應(yīng),發(fā)布安全公告,并推出緩解措施和修復(fù)補(bǔ)丁。但目前發(fā)布的漏洞補(bǔ)丁會(huì)在一定程度上影響云計(jì)算軟件的性能,廠商可能需要增加機(jī)器或提升CPU性能,增加成本。
美國(guó)藏的“后門(mén)”?
不少網(wǎng)友也在質(zhì)疑,這些漏洞會(huì)不會(huì)是美國(guó)藏在全球芯片中的“后門(mén)”不慎被發(fā)現(xiàn)了?畢竟斯諾登已經(jīng)揭示了美國(guó)在這方面的黑歷史。譚曉生對(duì)此表示,目前還看不到利用漏洞針對(duì)的攻擊目標(biāo),因此人為設(shè)計(jì)“后門(mén)”的可能性不大,基本上可以判斷為“安全漏洞”。他解釋說(shuō),在芯片或者操作系統(tǒng)中,某個(gè)漏洞存在多年是常見(jiàn)的問(wèn)題。“例如Windows系統(tǒng)的一個(gè)安全漏洞前后共存在了19年之久。這主要是因?yàn)榈谝淮a(chǎn)品在設(shè)計(jì)時(shí)就有漏洞,但當(dāng)時(shí)并未被發(fā)現(xiàn),后代產(chǎn)品繼續(xù)沿用這一技術(shù)架構(gòu)而未加修改,以致多代累加,直到問(wèn)題發(fā)現(xiàn)時(shí),漏洞產(chǎn)品擴(kuò)散的范圍已相當(dāng)大,這次情況也類(lèi)似”。
譚曉生說(shuō),對(duì)個(gè)人電腦用戶來(lái)講,不必過(guò)于擔(dān)心,只要按提示及時(shí)更新補(bǔ)丁程序或緩解措施,目前能讓絕大多數(shù)攻擊都無(wú)法成功。“但這種技術(shù)底層出現(xiàn)的漏洞缺乏快速有效的解決辦法,只有等到下一代CPU發(fā)布才能從根本上解決,這需要時(shí)間。”
01月07日 18:14
