近日,网络安全供应商 Check Point 发表了声明,说该公司在一项代号为“Achilles”研究中,对高通骁龙的数字信号处理(DSP)芯片进行了广泛的安全性评估,发现其中存在大量漏洞,总数多达400多。
研究人员表示,由于易受攻击的DSP芯片“几乎见于世界上所有的安卓手机上”,导致全球受此漏洞影响的机型超过40%,其中不乏有全球知名品牌手机。
报告中指出,攻击者利用这些漏洞不仅可以将手机变成一个完美的监听工具,而且还能够使手机持续无响应,或者锁定手机上的所有信息,使用户永远不可访问。此外,攻击者还可以利用恶意软件和其他恶意代码完全隐藏恶意活动。
目前,高通已发表声明确认这些漏洞的存在并发布了修复程序,建议用户仅从受信任的位置安装应用。但考虑到受这些漏洞影响的设备数量和安卓机更新速度,该补丁在短时间内很难轻松地到达所有设备,这意味着安全问题仍会出现。
DSP是什么?
DSP 芯片是手机中的一种辅助芯片,主要负责处理音频、视频和图像数据;出现在大多数现代手机中,并随高通的骁龙处理器一起提供。
而这家安全机构发现该芯片中存在 400 多个易受攻击的代码段,这意味着什么呢?
我们来看一组今年第二季度中国智能手机市场的数据。
由于今年联发科特别给力,以38.3%的市场份额险胜高通的37.8%,而第三名则是华为旗下的海思麒麟芯片,占据了21.8%的市场份额。
换句话说,也就是中国有37.8% 的用户设备将受到该漏洞影响,面临被黑客入侵的风险。不论你是三星、小米、一加还是OPPO、VIVO,你都跑不掉。
芯片漏洞堪比千年虫,危及全球企业和个人云数据
近年来,芯片漏洞事件频发,早在2018年2月,互联网就爆出了几乎席卷整个IT产业的芯片漏洞事件——英特尔严重安全漏洞事件。
事情是这样的,2017年,Google旗下的ProjectZero团队发现了一些由CPU Speculative Execution引发的芯片级漏洞,“Spectre”(幽灵)(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和“Meltdown”(熔断)(变体3:CVE-2017-5754),这三个漏洞都是先天性质的架构设计缺陷导致的,可以让非特权用户访问到系统内存从而读取敏感信息。
2017年6月1日,Project Zero安全团队的一名成员在向英特尔和其他芯片生产商告知了这些漏洞的情况,而直到2018年1月2日,科技媒体The Register在发表的一篇文章中曝光了上述CPU漏洞,才让芯片安全漏洞问题浮出水面,也让英特尔陷入一场突如其来的危机,导致股价下跌。
芯片安全漏洞爆出后,引起了媒体和业界的广泛关注:不但将在CPU上市场份额占绝对优势的英特尔抛到舆论漩涡中,也引起大家对安全问题的担忧。人们不禁要问,芯片漏洞问题早已发现,为什么到才被公布?是英特尔有意隐瞒吗?
尽管英特尔正在竭尽全力修复这些漏洞,然而这似乎打开了一个“潘多拉的魔盒”:英特尔芯片安全漏洞问题接二连三地浮出水面。
5月14日,英特尔再次爆出一组新的严重芯片漏洞,官方命名为“微架构数据采样漏洞(Microarchitectural Data Sampling,简称MDS)”,漏洞发现者将MDS包含的三种类型的漏洞分别命名为“僵尸装载(ZombieLoad)”“放射性浮尘(Fallout)”和“飞行中的数据流氓(Rogue in-flight Data Load)”。
从媒体披露的情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。研究者称,它们将会影响全球数百万部计算机和电子产品,搭载了2011 年之后出厂的英特尔芯片的设备无一幸免。
虽然是英特尔为主,但ARM、高通、AMD等大部分主流处理器芯片也受到漏洞影响,IBM POWER细节的处理器也有影响。采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都受上述漏洞的影响。
这是跨厂商、跨国界、跨架构、跨操作系统的重大漏洞事件,几乎席卷了整个IT产业。
安全事件之后的防漏洞产业链正在形成
不论是近日发生的高通DSP芯片漏洞,还是两年前震惊全球的英特尔芯片漏洞,都暴露出,现在互联网信息发达的另一面是网络信息安全隐患之深。
事实上,漏洞本身并不会造成危害,可所有的安全威胁却都是出于漏洞的被利用。鉴于极大的经济利益诉求,攻击者往往会在未经授权的情况下,利用这些漏洞访问网络,窃取数据或操控数据,以及瘫痪网络的功能,从而获取经济利益和隐私数据。
有隐患就有对策,安全漏洞已成为重大信息安全事件的主要原因之一,频发的安全漏洞事件更是让全球关注达到了空前的高度,自然而然催生出全球漏洞市场。
同时,位于前端的厂商、上游漏洞发现、中游漏洞披露以及下游漏洞利用等漏洞产业化链条逐渐形成,以此达到防御黑客攻击的目的。
作为漏洞产业的核心枢纽,以政府漏洞库为代表的漏洞平台发挥着巨大的价值,是衡量漏洞危险程度的重要标准。
在我国,由国家计算机网络应急技术处理协调中心(CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库,进行统一收集验证、预警发布及应急处置体系,切实提升在安全漏洞方面的整体研究水平和及时预防能力。
软件产业是软件漏洞产业的源头,如何在前期快速识别和修补漏洞就显得尤为重要。目前,国内外各大安全厂商、白帽黑客、以及研究/测评机构在漏洞挖掘及防御方面贡献了不小的力量。
作为致力于信息安全和数据处理领域的企业,中科信安为广大用户提供高效、安全的数据处理解决方案。随着当前产业互联网时代的到来,护航产业数字化变革、守护广大用户的信息安全成为了中科信安的使命。
当前,以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会,漏洞产业或将面临全新挑战的同时,必然也会保持高速发展,相信未来漏洞产业链也将涌现更多的业务模式和服务形态,来助力产业互联网时代安全建设。
来源:freebuf.com 2020-09-01 11:03:21 by: 中科信安信息技术
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册