“智能手机或电脑又发现了某个安全漏洞容易遭受黑客攻击”,这类警告对于信息时代的人们来说已经见怪不怪了。但近日掀起的一场芯片高危漏洞风波,几乎席卷所有电脑、服务器和智能手机,时间跨度甚至超过20年,被业内形容为“史上最严重的安全漏洞”。甚至有网友开始质疑,这个分布如此广泛、延续时间如此长的“漏洞”居然一直未被发现,它到底只是设计问题,还是某些国家暗藏的“后门”呢?

  席卷全球的芯片风波

  美国“连线”杂志网站7日称,最早曝光这个安全漏洞的是谷歌公司的技术团队,主要涉及到芯片巨头英特尔公司的产品。报道称,由于英特尔芯片的底层技术存在缺陷,黑客可以利用这个漏洞让恶意脚本直接读取核心内存,掠走隐秘信息。更可怕的是,利用这个漏洞,黑客在攻击后不会留下痕迹,这与传统病毒完全不同。

  谷歌方面3日曝光这个消息后,英特尔股价大跌,竞争对手、另一家芯片巨头AMD公司的股价随即上扬。但很快英特尔和谷歌就相继宣布,AMD、ARM等芯片存在同样的安全漏洞,这意味着全球几乎所有的个人电脑和服务器都“沦陷”了。

  但这场风波还远未停息。随着越来越多计算机安全企业投入调查,智能手机芯片也宣告失守,苹果、高通与IBM等公司均发表声明,承认其芯片也存在漏洞。目前的调查显示,1995年以来大部分量产的处理器均有可能受该漏洞的影响,采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都可能是受害者。中国国家信息安全漏洞共享平台对该漏洞的综合评级为“高危”。

  修补漏洞不容易

  “连线”杂志网站称,早在2016年,就已有安全研究人员发现英特尔芯片存在的这种漏洞,但英特尔方面一直秘而不宣。报道称,这有可能是英特尔正在试图寻找解决方案,担心还没有防御手段时就过早公布漏洞的存在,会引起黑客的疯狂攻击。

  360集团技术总裁、首席安全官谭晓生8日告诉《环球时报》记者,芯片存在安全漏洞公布后,一些别有用心的人可能会趁机作乱。“但利用这个漏洞实现攻击并非那么简单,需要配合其他漏洞才能实现攻击,存在相当的技术难度。”他表示,目前尚未发现国内有人利用这个漏洞成功实施恶意攻击。

  美联社称,个人电脑受这次芯片漏洞的影响明显低于云服务器。谭晓生说,目前来看,芯片安全漏洞问题的危害确实比较大,“我们一直在跟进,寻找修补方案。”他表示,目前能看到的应急措施都是对问题的缓解,而不能从根本上解决问题。“缓解措施的意思是指漏洞依然存在,但是能让恶意攻击者的难度加大,但是这类缓解措施的代价就是降低CPU的效率。”据彭博社报道,苹果公司称这次曝光的安全漏洞与芯片设计基本架构有关,要完全屏蔽非常困难和复杂,新版攻击代码可能会绕过现有补丁软件,窃取存储在芯片和内存中的机密信息。

  与依靠补丁升级就能解决的普通软件漏洞相比,底层硬件漏洞无法实现远程化一健修复,需要用户本地化操作,解决起来也复杂得多。目前全球各家芯片厂商、操作系统厂商、浏览器厂商以及云服务厂商,都已先后作出回应,发布安全公告,并推出缓解措施和修复补丁。但目前发布的漏洞补丁会在一定程度上影响云计算软件的性能,厂商可能需要增加机器或提升CPU性能,增加成本。

  美国藏的“后门”?

  不少网友也在质疑,这些漏洞会不会是美国藏在全球芯片中的“后门”不慎被发现了?毕竟斯诺登已经揭示了美国在这方面的黑历史。谭晓生对此表示,目前还看不到利用漏洞针对的攻击目标,因此人为设计“后门”的可能性不大,基本上可以判断为“安全漏洞”。他解释说,在芯片或者操作系统中,某个漏洞存在多年是常见的问题。“例如Windows系统的一个安全漏洞前后共存在了19年之久。这主要是因为第一代产品在设计时就有漏洞,但当时并未被发现,后代产品继续沿用这一技术架构而未加修改,以致多代累加,直到问题发现时,漏洞产品扩散的范围已相当大,这次情况也类似”。

  谭晓生说,对个人电脑用户来讲,不必过于担心,只要按提示及时更新补丁程序或缓解措施,目前能让绝大多数攻击都无法成功。“但这种技术底层出现的漏洞缺乏快速有效的解决办法,只有等到下一代CPU发布才能从根本上解决,这需要时间。”

中国教育信息订阅号二维码
中国教育信息微信服务号