高通DSP芯片被曝6個(gè)漏洞事件引發(fā)的安全危機(jī)猜想

  • 人閱讀
  • 2020-08-21 11:48:27

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

近日,國(guó)外知名安全研究機(jī)構(gòu)Check Point發(fā)現(xiàn),高通驍龍系列芯片的數(shù)字信號(hào)處理芯片(DSP)中存在大量漏洞,總數(shù)多達(dá)400多。研究人員表示,由于易受攻擊的DSP芯片“幾乎見于世界上所有的安卓手機(jī)上”,導(dǎo)致全球受此漏洞影響的機(jī)型超過40%,其中不乏有全球知名品牌手機(jī)。

報(bào)告中指出,攻擊者利用這些漏洞不僅可以將手機(jī)變成一個(gè)完美的監(jiān)聽工具,而且還能夠使手機(jī)持續(xù)無響應(yīng),或者鎖定手機(jī)上的所有信息,使用戶永遠(yuǎn)不可訪問。此外,攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動(dòng)。

目前,高通已發(fā)表聲明確認(rèn)這些漏洞的存在并發(fā)布了修復(fù)程序,建議用戶僅從受信任的位置安裝應(yīng)用。但考慮到受這些漏洞影響的設(shè)備數(shù)量和安卓機(jī)更新速度,該補(bǔ)丁在短時(shí)間內(nèi)很難輕松地到達(dá)所有設(shè)備,這意味著安全問題仍會(huì)出現(xiàn)。

安全盲區(qū):系統(tǒng)漏洞下的“人為漏洞”

在高通DSP芯片被曝漏洞引起各方關(guān)注之時(shí),大家甚至用“間諜工具”、“史詩級(jí)漏洞”、“致命隱患”等詞闡述被曝事件的嚴(yán)重性,強(qiáng)調(diào)的是系統(tǒng)漏洞安全“卡脖子”的問題。在這背后,其實(shí)有一個(gè)圍繞安全漏洞的挖掘、披露和利用發(fā)展成日益繁榮、高度組織性的龐大地下市場(chǎng)。

如很多事物一樣,風(fēng)光的背后都有另一面,軟件系統(tǒng)同樣如此。各種類型的軟件系統(tǒng)為用戶帶來便利和提高生產(chǎn)率的同時(shí),由于信息系統(tǒng)從設(shè)計(jì)、開發(fā)、測(cè)試、部署和應(yīng)用中存在脆弱點(diǎn)或缺陷,使得漏洞具有普遍性和長(zhǎng)期性,并且貫穿軟件的全生命周期。

但事實(shí)上,漏洞本身并不會(huì)造成危害,可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經(jīng)濟(jì)利益訴求,攻擊者往往會(huì)在未經(jīng)授權(quán)的情況下,利用這些漏洞訪問網(wǎng)絡(luò),竊取數(shù)據(jù)或操控?cái)?shù)據(jù),以及癱瘓網(wǎng)絡(luò)的功能,從而獲取經(jīng)濟(jì)利益和隱私數(shù)據(jù)。

安全漏洞已成為重大信息安全事件的主要原因之一,頻發(fā)的安全漏洞事件更是讓全球關(guān)注達(dá)到了空前的高度。2017年5月12日,不法分子利用Windows系統(tǒng)“永恒之藍(lán)”漏洞制作WannaCry勒索病毒迅速在全球范圍內(nèi)大規(guī)模爆發(fā),至少150個(gè)國(guó)家、30萬名用戶中招,直接造成損失達(dá)80億美元。今年3月,萬豪連鎖酒店披露了一起安全漏洞,影響了520多萬酒店客人的數(shù)據(jù),涉及個(gè)人詳細(xì)隱私信息。

高通DSP芯片被曝6個(gè)漏洞事件引發(fā)的安全危機(jī)猜想

最近幾年,被曝漏洞數(shù)量逐漸攀升并且不斷刷新記錄。根據(jù)Skybox Security最新發(fā)布的2020年漏洞和威脅趨勢(shì)報(bào)告顯示,截至目前2020年為9799份,2019年為7318份,增幅為34%。此數(shù)據(jù)也超過了2018年前六個(gè)月報(bào)告的最高記錄8485份,表明2020年的新增漏洞數(shù)量很可能會(huì)突破新記錄。而據(jù)騰訊安全威脅情報(bào)中心數(shù)據(jù)顯示,截至2019年12月底,仍有79%的企業(yè)終端上存在至少一個(gè)高危漏洞未修復(fù),而這帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不言而喻。

聯(lián)動(dòng)協(xié)同推進(jìn),打造漏洞產(chǎn)業(yè)鏈實(shí)踐閉環(huán)

在漏洞市場(chǎng)的內(nèi)外雙重刺激下,包括位于前端的廠商、上游漏洞發(fā)現(xiàn)、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成,以此達(dá)到防御黑客攻擊的目的。

作為漏洞產(chǎn)業(yè)的核心樞紐,以政府漏洞庫為代表的漏洞平臺(tái)發(fā)揮著巨大的價(jià)值,是衡量漏洞危險(xiǎn)程度的重要標(biāo)準(zhǔn)。在我國(guó),由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國(guó)家網(wǎng)絡(luò)安全漏洞庫,進(jìn)行統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系,切實(shí)提升在安全漏洞方面的整體研究水平和及時(shí)預(yù)防能力。

軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭,如何在前期快速識(shí)別和修補(bǔ)漏洞就顯得尤為重要。目前,國(guó)內(nèi)外各大安全廠商、白帽黑客、以及研究/測(cè)評(píng)機(jī)構(gòu)在漏洞挖掘及防御方面貢獻(xiàn)了不小的力量。作為互聯(lián)網(wǎng)安全領(lǐng)先品牌,騰訊安全早在2016年就已成立了七大聯(lián)合實(shí)驗(yàn)室,專注漏洞挖掘并負(fù)責(zé)向第三方廠商報(bào)告,同時(shí)向用戶提供漏洞修復(fù)解決方案。

在協(xié)助廠商修復(fù)漏洞方面,騰訊安全聯(lián)合實(shí)驗(yàn)室目前在漏洞挖掘、檢測(cè)及防御等重要環(huán)節(jié)中形成一套完善的漏洞防御體系。在遵循國(guó)際漏洞披露規(guī)則前提下,聯(lián)合實(shí)驗(yàn)室第一時(shí)間向受影響廠商提交了漏洞相關(guān)情況說明,協(xié)助受此影響廠商進(jìn)一步提升產(chǎn)品的安全性能,保護(hù)廣大用戶的網(wǎng)絡(luò)安全。同時(shí),騰訊安全聯(lián)合實(shí)驗(yàn)室還連同騰訊其他業(yè)務(wù)平臺(tái),常年向Adobe、蘋果、微軟、谷歌等國(guó)際廠商提交漏洞研究報(bào)告,持續(xù)推動(dòng)互聯(lián)網(wǎng)安全生態(tài)的發(fā)展。

在騰訊安全聯(lián)合實(shí)驗(yàn)室之中,被業(yè)內(nèi)譽(yù)為“漏洞挖掘機(jī)”的騰訊安全玄武實(shí)驗(yàn)室曾先后對(duì)外公布“BadBarcode”、“BadTunnel”、“應(yīng)用克隆”、“殘跡重用”、“BucketShock”、 “BadPower”等重要研究成果,發(fā)現(xiàn)并協(xié)助國(guó)內(nèi)外知名企業(yè)修復(fù)了上千個(gè)安全問題。在智能網(wǎng)聯(lián)汽車安全研究上,騰訊安全科恩實(shí)驗(yàn)室曾榮獲特斯拉CEO埃隆·馬斯克寫親筆信致謝、入選“特斯拉安全研究員名人堂”、全球首個(gè)“寶馬集團(tuán)數(shù)字化及IT研發(fā)技術(shù)獎(jiǎng)”等榮譽(yù)。隨著當(dāng)前產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的到來,護(hù)航產(chǎn)業(yè)數(shù)字化變革、守護(hù)全網(wǎng)用戶的信息安全也已成為騰訊安全聯(lián)合實(shí)驗(yàn)室的重要使命之一。

隨著互聯(lián)網(wǎng)的快速發(fā)展,漏洞提交平臺(tái)和漏洞獎(jiǎng)勵(lì)計(jì)劃也應(yīng)運(yùn)而生。如今漏洞獎(jiǎng)勵(lì)計(jì)劃已成為全球互聯(lián)網(wǎng)公司的重要安全策略之一。在過去的一年,微軟花費(fèi) 1370 萬美元獎(jiǎng)勵(lì)產(chǎn)品漏洞發(fā)現(xiàn)者,比上一年度同期的 440 萬美元多出逾兩倍。在2019年黑帽大會(huì)上,蘋果升級(jí)漏洞懸賞計(jì)劃從之前的每個(gè)漏洞 20 萬美元提升至 100 萬美元,希望借助白帽黑客力量解決自身產(chǎn)品安全隱患。

此外,每年全球范圍內(nèi)還會(huì)舉辦各種黑客大會(huì)和漏洞挑戰(zhàn)賽,圍繞信息安全領(lǐng)域的發(fā)展趨勢(shì)、創(chuàng)新技術(shù)及風(fēng)險(xiǎn)漏洞進(jìn)行深入探討,集黑客最強(qiáng)大腦助推網(wǎng)絡(luò)安全的發(fā)展。隨著新基建時(shí)代的到來,新基建下的安全變得前所未有的重要。本月初,國(guó)內(nèi)首個(gè)新基建安全大賽正式啟動(dòng),目標(biāo)就是邀請(qǐng)行業(yè)技術(shù)精英,共同探索新基建場(chǎng)景應(yīng)用中潛在的安全風(fēng)險(xiǎn),將最終賽果反哺新基建安全標(biāo)準(zhǔn)制定。

當(dāng)前,以人工智能、云計(jì)算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施將進(jìn)一步融入數(shù)字社會(huì),漏洞產(chǎn)業(yè)或?qū)⒚媾R全新挑戰(zhàn)的同時(shí),必然也會(huì)保持高速發(fā)展,相信未來漏洞產(chǎn)業(yè)鏈也將涌現(xiàn)更多的業(yè)務(wù)模式和服務(wù)形態(tài),來助力產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代安全建設(shè)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )