紫光展銳被爆安全漏洞？風(fēng)險可控已修復(fù)

6月9日消息（南山）近日，多家媒體報(bào)道，以色列網(wǎng)絡(luò)安全公司Check Point Research發(fā)布公告稱，在研究紫光展銳的移動處理器時，發(fā)現(xiàn)其LTE協(xié)議棧有漏洞，當(dāng)攻擊者利用發(fā)射站發(fā)送格式錯誤的數(shù)據(jù)包，基于紫光展銳處理器的手機(jī)基帶就會重啟，從而對用戶通訊造成影響。

面向公開市場，紫光展銳是中國大陸地區(qū)最大的手機(jī)芯片企業(yè)，加之Check Point Research 宣稱“全球11%安卓手機(jī)受影響”，可能的“后果”如此嚴(yán)重，引起了業(yè)界不小的關(guān)注。但，“嚴(yán)重安全漏洞”，真的很嚴(yán)重嗎？

“聳人聽聞”的背后

“嚴(yán)重安全漏洞”，猛一看的確有些嚇人。不過，在熟悉ICT產(chǎn)業(yè)的人士看來，這是一個常見的描述。例如，2021年工信部統(tǒng)計(jì)的安全漏洞就超過14萬個，“高危漏洞”超過4萬個。其實(shí)對于絕大多數(shù)互聯(lián)網(wǎng)用戶而言，并沒有感受到“高危漏洞”帶來的嚴(yán)重威脅。

“全球11%安卓手機(jī)受影響”更是聳人聽聞，但依然是業(yè)界的常規(guī)操作。由于互聯(lián)網(wǎng)全球連接，“全球XX用戶受影響”，類似的漏洞描述屢見不鮮。

理論上確實(shí)存在這個可能，事實(shí)上并未引發(fā)廣泛攻擊。互聯(lián)網(wǎng)是一個龐大而超級復(fù)雜的工程，每年都會產(chǎn)生無數(shù)的漏洞。業(yè)界“修補(bǔ)漏洞”的機(jī)制也趨于完善，大多數(shù)有威脅的漏洞在曝光后，相關(guān)機(jī)構(gòu)能夠很快通過推送補(bǔ)丁等形式修復(fù)，用戶并沒有感知到威脅的存在。

當(dāng)然，這不代表漏洞的威脅不大，之所以采取這樣的語言描述新發(fā)現(xiàn)的漏洞，正是因?yàn)闈撛诘呢?fù)面影響，提醒業(yè)界注意，并能夠及時采取措施響應(yīng)并修復(fù)。以本次發(fā)現(xiàn)的漏洞為例，Check Point Research表示已通報(bào)了該漏洞，預(yù)計(jì)會透過Google 6月Android 安全更新修復(fù)。

紫光展銳也回應(yīng)稱，在Check Point Research 發(fā)出公告前，該公司已完成相關(guān)排查，并登記在案，驗(yàn)證完畢的相關(guān)補(bǔ)丁已于 5 月 30 日陸續(xù)更新至有關(guān)客戶廠商。從谷歌登記平臺看，6月份的谷歌“安卓安全公告”中，已可以看到紫光展銳的補(bǔ)丁方案。也就是說，展銳芯的手機(jī)用戶，實(shí)際上并不會因?yàn)檫@一漏洞受到安全威脅。

值得注意的是，根據(jù)谷歌登記平臺的記錄，各個芯片廠家基本每月都有相應(yīng)的補(bǔ)丁登記，修洞補(bǔ)洞基本已是保障用戶體驗(yàn)的“常規(guī)操作”。

條件并不滿足

資料顯示，Check Point Research是一家網(wǎng)絡(luò)安全解決方案提供商，常年收集和分析全球網(wǎng)絡(luò)受到攻擊以及可能受到攻擊的數(shù)據(jù)，以幫助客戶企業(yè)應(yīng)對黑客入侵。

本次該機(jī)構(gòu)發(fā)布的涉及紫光展銳的公告，其實(shí)并非特例。僅以手機(jī)芯片廠商為例，之前5月份高通、4月份高通和聯(lián)發(fā)科均已“中招”。IT和軟件公司的漏洞，更是層出不窮。

據(jù)業(yè)內(nèi)人士分析，要出現(xiàn)Check Point Research本次提到的紫光展銳安全漏洞，是在一個虛擬的假設(shè)環(huán)境下實(shí)現(xiàn)的，實(shí)際上觸發(fā)這個漏洞要滿足兩個條件，一是將特定非法碼流發(fā)送給UE，還有一個更重要，就是攻破運(yùn)營商的4G核心網(wǎng)（或偽造假基站）。

如果黑客攻破4G核心網(wǎng)或者偽造假基站來發(fā)送特定非法碼流，在4G安全保密架構(gòu)下，技術(shù)難度非常大，而且其他方案手機(jī)也會產(chǎn)生影響，但用戶的感知不強(qiáng)，手機(jī)的通信功能會出現(xiàn)短期故障，1-5秒內(nèi)即可恢復(fù)。如果黑客不重復(fù)攻破或者用戶離開該區(qū)域，網(wǎng)絡(luò)將恢復(fù)正常，手機(jī)可正常使用。

“相信大家可以感受到，前些年在2/3G時代經(jīng)常有偽基站電信詐騙事件發(fā)生，但進(jìn)入4G時代后，這樣的新聞就很少聽到了。因?yàn)閭位緵]有辦法攻破運(yùn)營商安全架構(gòu)極高的4G核心網(wǎng)。”該人士表示。

所以從本質(zhì)上來說，涉及紫光展銳芯片的“安全漏洞”并沒有真正發(fā)生。當(dāng)然，這一測試幫助紫光展銳找到了潛在風(fēng)險，也具有非常積極的意義。隨著紫光展銳在全球的市占份額越來越高，這類具有龐大用戶量的產(chǎn)品或者系統(tǒng)，需要時刻接受業(yè)界的審視和自我的安全排查，不斷迭代和完善，增強(qiáng)安全性，才能為用戶提供更好的使用體驗(yàn)。

從這個問題的解決上看，紫光展銳的操作是符合規(guī)范的。紫光展銳強(qiáng)調(diào)，該公司高度重視產(chǎn)品的安全問題，具有完整的安全管理體系與響應(yīng)機(jī)制。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。