全球芯片安全崩塌,究竟是谁干的

  全球芯片安全崩溃,谁在做

  本报记者倪浩伟通讯员魏云峰智能手机或电脑,发现一个安全漏洞容易受到黑客攻击,对于信息时代的人们来说这样的警告已经不复存在。然而,近20年来几乎所有计算机,服务器和智能手机的高风险芯片漏洞风暴被描述为业界最严重的安全漏洞,有些用户甚至开始质疑此类漏洞的分布。大范围的如此长时间的漏洞一直未被发现,到底它只是一个设计问题,还是一些国家隐藏的后门呢?风靡一时的芯片风暴席卷美国网络杂志网站7日表示,最早曝光的这个安全漏洞是Google的技术团队,主要涉及芯片巨头英特尔的产品。报道说,由于英特尔芯片底层技术的缺陷,黑客可以利用这个漏洞让恶意脚本直接读取核心内存,扫走了秘密信息,更可怕的是,利用这个漏洞,黑客攻击后不会留下痕迹,这与传统病毒完全不同。他第三次曝光了这个消息,英特尔股价暴跌,另一个芯片巨头竞争对手AMD股价立即上涨。但不久之后,英特尔和谷歌宣布AMD和ARM芯片的安全漏洞相同,这意味着世界上几乎所有的个人电脑和服务器都已经下降了,但风暴并没有结束,随着越来越多的计算机安全公司进入调查中,智能手机芯片也宣告倒戈,苹果,高通和IBM等公司都发表声明,承认芯片存在漏洞。目前的调查显示,1995年以来大部分批量生产的处理器都可能受到漏洞,主流操作系统如Windows,Linux,macOS,Android等电脑,平板电脑,手机以及云服务器等使用这些芯片的终端设备可能是受害者;中国信息安全漏洞共享平台上的综合漏洞评级为高风险修复漏洞不易联网网站表示,早在2016年就有安全研究人员发现英特尔芯片存在这个漏洞,但英特尔一直保密。据悉,这可能是英特尔试图寻找解决方案,担心由于缺乏防御手段而过早泄露漏洞,将会造成黑客攻击。 8日,环球时报告诉记者,该公告发布后,芯片存在安全漏洞。一些别有用心的人可能会借此机会混沌。 360集团首席技术官兼首席安全官谭小生8日对“环球时报”表示。但是,利用这个漏洞攻击并不是那么简单,需要配合其他漏洞来实施攻击。有相当的技术难度。他说,此刻,全国没有人利用这个漏洞成功发动恶意攻击。美联社说,受到芯片漏洞影响的个人电脑明显低于云服务器。谭小生说,目前,芯片安全漏洞造成的危害确实比较大,我们一直在跟踪修复程序。他表示,目前可以看到的紧急措施,都是解决问题的办法,不能从根本上解决问题。缓解是指仍然存在的漏洞,但可以使恶意攻击者更加困难,但这种缓解措施的代价是降低CPU的效率。据彭博社消息,苹果公司表示,基于完全屏蔽的基础架构的安全漏洞和芯片设计的暴露是非常困难和复杂的,新的攻击代码可能绕过现有的补丁软件窃取存储在芯片和内存中的机密信息。与通过修补程序升级可解决的常见软件漏洞相比,基础硬件漏洞无法远程修复。本地化是必需的,解决方案要复杂得多。目前世界各地的各大芯片厂商,操作系统厂商,浏览器厂商和云服务厂商都做出了回应,发布了安全公告,推出了缓解措施和修补补丁。然而,目前发布的补丁版本在一定程度上会影响云计算软件的性能。制造商可能需要增加机器或增加CPU性能并增加成本。美国人拥有后门?不少用户也质疑这些漏洞是否会在不经意间隐藏在全球芯片的美国后门被发现?毕竟,斯诺登已经在这方面披露了美国的黑人历史。谭小生说,目前还看不出有针对性的攻击漏洞,所以后门仿真设计的可能性不大,基本上可以判断为是安全漏洞。他解释说,在芯片或操作系统中,多年来存在的漏洞是一个普遍的问题。例如,Windows系统存在一个安全漏洞19年前后。这主要是因为第一代产品设计有缺陷,但当时并没有发现。未来世代的产品将会不经修改而继续使用这一技术架构,导致多代积累直到问题被发现。漏洞产品泛滥的范围已经相当大,情况也是类似的。谭小生说,就个人电脑用户而言,不用担心太多,只要按照提示更新补丁或缓解措施,目前大部分攻击都可以使得最不成功。但是,这种技术的缺陷缺乏快速有效的解决方案。只有下一代CPU才能被释放,只需要时间。 ▲