乐趣区

关于安全:高通DSP芯片被曝6个漏洞事件引发的安全危机猜想

近日,国外出名平安钻研机构 Check Point 发现,高通骁龙系列芯片的数字信号处理芯片(DSP)中存在大量破绽,总数多达 400 多。钻研人员示意,因为易受攻击的 DSP 芯片“简直见于世界上所有的安卓手机上”,导致寰球受此破绽影响的机型超过 40%,其中不乏有寰球知名品牌手机。

报告中指出,攻击者利用这些破绽不仅能够将手机变成一个完满的监听工具,而且还可能使手机继续无响应,或者锁定手机上的所有信息,使用户永远不可拜访。此外,攻击者还能够利用恶意软件和其余恶意代码齐全暗藏歹意流动。

目前,高通已发表声明确认这些破绽的存在并公布了修复程序,倡议用户仅从受信赖的地位装置利用。但思考到受这些破绽影响的设施数量和安卓机更新速度,该补丁在短时间内很难轻松地达到所有设施,这意味着平安问题仍会呈现。

平安盲区:系统漏洞下的“人为破绽”

在高通 DSP 芯片被曝破绽引起各方关注之时,大家甚至用“特务工具”、“史诗级破绽”、“致命隐患”等词论述被曝事件的严重性,强调的是系统漏洞平安“卡脖子”的问题。在这背地,其实有一个围绕安全漏洞的开掘、披露和利用倒退成日益凋敝、高度组织性的宏大公开市场。

如很多事物一样,景色的背地都有另一面,软件系统同样如此。各种类型的软件系统为用户带来便当和进步生产率的同时, 因为信息系统从设计、开发、测试、部署和利用中存在软弱点或缺点,使得破绽具备普遍性和长期性,并且贯通软件的全生命周期。

但事实上,破绽自身并不会造成危害,可所有的平安威逼却都是出于破绽的被利用。鉴于极大的经济利益诉求,攻击者往往会在未经受权的状况下,利用这些破绽拜访网络,窃取数据或操控数据,以及瘫痪网络的性能,从而获取经济利益和隐衷数据。

安全漏洞已成为重大信息安全事件的次要起因之一,频发的安全漏洞事件更是让寰球关注达到了空前的高度。2017 年 5 月 12 日,不法分子利用 Windows 零碎“永恒之蓝”破绽制作 WannaCry 勒索病毒迅速在寰球范畴内大规模暴发,至多 150 个国家、30 万名用户中招,间接造成损失达 80 亿美元。往年 3 月,万豪连锁酒店披露了一起安全漏洞,影响了 520 多万酒店客人的数据,波及集体具体隐衷信息。

最近几年,被曝破绽数量逐步攀升并且一直刷新记录。 依据 Skybox Security 最新公布的 2020 年破绽和威逼趋势报告显示,截至目前 2020 年为 9799 份,2019 年为 7318 份,增幅为 34%。此数据也超过了 2018 年前六个月报告的最高记录 8485 份,表明 2020 年的新增破绽数量很可能会冲破新记录。而据腾讯平安威逼情报中心数据显示,截至 2019 年 12 月底,仍有 79% 的企业终端上存在至多一个高危破绽未修复,而这带来的网络安全危险显而易见。

联动协同推动,打造破绽产业链实际闭环

在破绽市场的内外双重刺激下,包含位于前端的厂商、上游破绽发现、中游破绽披露以及上游破绽利用等破绽产业化链条逐步造成,以此达到进攻黑客攻击的目标。

作为破绽产业的外围枢纽,以政府破绽库为代表的破绽平台施展着微小的价值,是掂量破绽危险水平的重要规范。在我国,由国家计算机网络应急技术解决协调核心(CNCERT)联合国内重要信息系统单位、根底电信运营商、网络安全厂商、软件厂商和互联网企业建设的国家网络安全破绽库,进行对立收集验证、预警公布及应急处理体系,切实晋升在安全漏洞方面的整体钻研程度和及时预防能力。

软件产业是软件破绽产业的源头,如何在后期疾速辨认和修补破绽就显得尤为重要。目前,国内外各大平安厂商、白帽黑客、以及钻研 / 测评机构在破绽开掘及进攻方面奉献了不小的力量。作为互联网安全当先品牌,腾讯平安早在 2016 年就已成立了七大联结实验室,专一破绽开掘并负责向第三方厂商报告,同时向用户提供破绽修复解决方案。

在帮助厂商修复破绽方面, 腾讯平安联结实验室目前在破绽开掘、检测及进攻等重要环节中造成一套欠缺的破绽进攻体系。 在遵循国内破绽披露规定前提下,联结实验室第一工夫向受影响厂商提交了破绽相干状况阐明,帮助受此影响厂商进一步晋升产品的平安性能,爱护宽广用户的网络安全。同时,腾讯平安联结实验室还连同腾讯其余业务平台,长年向 Adobe、苹果、微软、谷歌等国内厂商提交破绽钻研报告,继续推动互联网安全生态的倒退。

在腾讯平安联结实验室之中,被业内誉为“破绽挖掘机”的腾讯平安玄武实验室曾先后对外颁布“BadBarcode”、“BadTunnel”、“利用克隆”、“残迹重用”、“BucketShock”、“BadPower”等重要研究成果,发现并帮助国内外知名企业修复了上千个平安问题。在智能网联汽车平安钻研上,腾讯平安科恩实验室曾荣获特斯拉 CEO 埃隆·马斯克写亲笔信致谢、入选“特斯拉平安研究员名人堂”、寰球首个“宝马团体数字化及 IT 研发技术奖”等荣誉。随着以后产业互联网时代的到来,护航产业数字化改革、守护全网用户的信息安全也已成为腾讯平安联结实验室的重要使命之一。

随着互联网的疾速倒退, 破绽提交平台和破绽处分打算也应运而生。 现在破绽处分打算已成为寰球互联网公司的重要安全策略之一。在过来的一年,微软破费 1370 万美元处分产品破绽发现者,比上一年度同期的 440 万美元多出逾两倍。在 2019 年黑帽大会上,苹果降级破绽悬赏打算从之前的每个破绽 20 万美元晋升至 100 万美元,心愿借助白帽黑客力量解决本身产品安全隐患。

此外, 每年寰球范畴内还会举办各种黑客大会和破绽挑战赛 ,围绕信息安全畛域的发展趋势、翻新技术及危险破绽进行深入探讨,集黑客最强大脑助推网络安全的倒退。随着新基建时代的到来,新基建下的平安变得前所未有的重要。本月初,国内首个新基建平安大赛正式启动,指标就是邀请行业技术精英,独特摸索新基建场景利用中潜在的平安危险,将最终赛果反哺新基建平安规范制订。

以后,以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会,破绽产业或将面临全新挑战的同时,必然也会保持高速倒退,置信将来破绽产业链也将涌现更多的业务模式和服务状态,来助力产业互联网时代平安建设。

退出移动版