幽灵和熔断将会再现 设备永远不会真正安全
在承认了现代智能手机芯片中的一个重大安全漏洞之后,芯片公司的CEO又给我们带来了更为残酷的坏消息。
“
类似的东西可能还有很多,而我们多年来都以为它们是安全的。对安全威胁思考足够深入的人,很可能找出其他方式来利用这些被认为是完全安全的系统。
——ARM首席执行官西蒙·希格斯
西蒙·希格斯
今年1月初,大部分现代处理器中隐藏新漏洞的消息爆发。这次的漏洞不仅危及PC,连手机也未能幸免,波及的处理器甚至可追溯至20多年前。原因是英特尔、ARM等芯片厂商使用的设计技术可令黑客从受害设备内存中获取用户的隐私数据,比如口令、加密密钥或敏感信息。
新漏洞名为幽灵和熔断,其最具破坏性的一点在于:不特定于某一具体的芯片制造商或设备。这两个漏洞几乎影响到所有计算设备,从手机到PC到服务器无一幸免。计算行业正忙于更新操作系统、Web浏览器、云计算服务及其他需要保证安全的基础服务,试图减小该问题的严重性。
“
只要想想人们已经利用这些漏洞做了什么就头大。之前从来没人想到过这种情况。所有的发现都是公之于众之后才显现出其重要性,这两个漏洞也不例外。
60亿芯片
ARM是一家英国公司,其设计是世界上大多数移动处理器的基础,苹果和三星的产品也使用ARM的技术。日本电信巨头软银集团同样看上了ARM在业界的重要地位,于2016年年中以320亿美元的价格买下了这家公司。ARM自30年前成立以来,供售出了超过1200亿枚芯片。
这1200亿枚芯片中,5%(约60亿)存在幽灵漏洞。上周,苹果宣称,其所有iOS设备(所用苹果芯片基于ARM的处理器架构)和Mac机(使用英特尔芯片)均受幽灵漏洞影响。
ARM的另一客户高通,则在一份声明中称已注意到漏洞的存在,正与ARM和其他公司协作评估这一问题并开发修复补丁。
高通在本月初的声明中称:“我们正为受影响的产品积极部署相应的缓解措施,尽力增强产品的安全性。”他们建议客户对设备进行定期更新。
还有另一款基于ARM的处理器可能受到熔断漏洞的影响,但该处理器还太新,尚未随产品发售。ARM首席执行官希格斯没有透露是哪家芯片合作伙伴制造该处理器,也未说明该处理器将应用到什么设备上。
移动标靶
去年10月的ARM大会上,希格斯说“网络安全就是一团糟”,随着人工智能和物联网的兴起,我们必须在网络上做点什么。ARM的观点是,设备必须从硬件上保证安全,而不仅仅是从软件上。
至于易受熔断和幽灵漏洞影响的设计技术,希格斯认为,公司企业不会将之从处理器中移除,因为该技术对处理速度的提升太大了,高端芯片中是不可能不用这种技术的。
希格斯说:“最终的系统是软件和硬件的结合,其编写和测试都会进一步发展,以确保使用该方法的风险得到充分理解。”
ARM尚未决定如何修改其芯片架构或软件以防止类似安全风险再次出现。但希格斯称,除了对处理器做出微调,该公司还将强化员工队伍,考虑收购并花更多时间在检查类似潜在漏洞上。
被问及为什么ARM不是自己发现漏洞而是从安全研究员处得知,希格斯回应道:“这说明安全界就是个移动靶。往往在你以为一切尽在掌控的时候,就又冒出个什么东西来。”
相关阅读