高通DSP芯片被曝6個漏洞事件引發(fā)的安全危機(jī)猜想

　　近日，國外知名安全研究機(jī)構(gòu)Check Point發(fā)現(xiàn)，高通驍龍系列芯片的數(shù)字信號處理芯片(DSP)中存在大量漏洞，總數(shù)多達(dá)400多。研究人員表示，由于易受攻擊的DSP芯片“幾乎見于世界上所有的安卓手機(jī)上”，導(dǎo)致全球受此漏洞影響的機(jī)型超過40%，其中不乏有全球知名品牌手機(jī)。

　　報告中指出，攻擊者利用這些漏洞不僅可以將手機(jī)變成一個完美的監(jiān)聽工具，而且還能夠使手機(jī)持續(xù)無響應(yīng)，或者鎖定手機(jī)上的所有信息，使用戶永遠(yuǎn)不可訪問。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動。

　　目前，高通已發(fā)表聲明確認(rèn)這些漏洞的存在并發(fā)布了修復(fù)程序，建議用戶僅從受信任的位置安裝應(yīng)用。但考慮到受這些漏洞影響的設(shè)備數(shù)量和安卓機(jī)更新速度，該補丁在短時間內(nèi)很難輕松地到達(dá)所有設(shè)備，這意味著安全問題仍會出現(xiàn)。

　　安全盲區(qū)：系統(tǒng)漏洞下的“人為漏洞”

　　在高通DSP芯片被曝漏洞引起各方關(guān)注之時，大家甚至用“間諜工具”、“史詩級漏洞”、“致命隱患”等詞闡述被曝事件的嚴(yán)重性，強調(diào)的是系統(tǒng)漏洞安全“卡脖子”的問題。在這背后，其實有一個圍繞安全漏洞的挖掘、披露和利用發(fā)展成日益繁榮、高度組織性的龐大地下市場。

　　如很多事物一樣，風(fēng)光的背后都有另一面，軟件系統(tǒng)同樣如此。各種類型的軟件系統(tǒng)為用戶帶來便利和提高生產(chǎn)率的同時，由于信息系統(tǒng)從設(shè)計、開發(fā)、測試、部署和應(yīng)用中存在脆弱點或缺陷，使得漏洞具有普遍性和長期性，并且貫穿軟件的全生命周期。

　　但事實上，漏洞本身并不會造成危害，可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經(jīng)濟(jì)利益訴求，攻擊者往往會在未經(jīng)授權(quán)的情況下，利用這些漏洞訪問網(wǎng)絡(luò)，竊取數(shù)據(jù)或操控數(shù)據(jù)，以及癱瘓網(wǎng)絡(luò)的功能，從而獲取經(jīng)濟(jì)利益和隱私數(shù)據(jù)。

　　安全漏洞已成為重大信息安全事件的主要原因之一，頻發(fā)的安全漏洞事件更是讓全球關(guān)注達(dá)到了空前的高度。2017年5月12日，不法分子利用Windows系統(tǒng)“永恒之藍(lán)”漏洞制作WannaCry勒索病毒迅速在全球范圍內(nèi)大規(guī)模爆發(fā)，至少150個國家、30萬名用戶中招，直接造成損失達(dá)80億美元。今年3月，萬豪連鎖酒店披露了一起安全漏洞，影響了520多萬酒店客人的數(shù)據(jù)，涉及個人詳細(xì)隱私信息。

　　最近幾年，被曝漏洞數(shù)量逐漸攀升并且不斷刷新記錄。根據(jù)Skybox Security最新發(fā)布的2020年漏洞和威脅趨勢報告顯示，截至目前2020年為9799份，2019年為7318份，增幅為34%。此數(shù)據(jù)也超過了2018年前六個月報告的最高記錄8485份，表明2020年的新增漏洞數(shù)量很可能會突破新記錄。而據(jù)騰訊安全威脅情報中心數(shù)據(jù)顯示，截至2019年12月底，仍有79%的企業(yè)終端上存在至少一個高危漏洞未修復(fù)，而這帶來的網(wǎng)絡(luò)安全風(fēng)險不言而喻。

　　聯(lián)動協(xié)同推進(jìn)，打造漏洞產(chǎn)業(yè)鏈實踐閉環(huán)

　　在漏洞市場的內(nèi)外雙重刺激下，包括位于前端的廠商、上游漏洞發(fā)現(xiàn)、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成，以此達(dá)到防御黑客攻擊的目的。

　　作為漏洞產(chǎn)業(yè)的核心樞紐，以政府漏洞庫為代表的漏洞平臺發(fā)揮著巨大的價值，是衡量漏洞危險程度的重要標(biāo)準(zhǔn)。在我國，由國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國家網(wǎng)絡(luò)安全漏洞庫，進(jìn)行統(tǒng)一收集驗證、預(yù)警發(fā)布及應(yīng)急處置體系，切實提升在安全漏洞方面的整體研究水平和及時預(yù)防能力。

　　軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭，如何在前期快速識別和修補漏洞就顯得尤為重要。目前，國內(nèi)外各大安全廠商、白帽黑客、以及研究/測評機(jī)構(gòu)在漏洞挖掘及防御方面貢獻(xiàn)了不小的力量。作為互聯(lián)網(wǎng)安全領(lǐng)先品牌，騰訊安全早在2016年就已成立了七大聯(lián)合實驗室，專注漏洞挖掘并負(fù)責(zé)向第三方廠商報告，同時向用戶提供漏洞修復(fù)解決方案。

　　在協(xié)助廠商修復(fù)漏洞方面，騰訊安全聯(lián)合實驗室目前在漏洞挖掘、檢測及防御等重要環(huán)節(jié)中形成一套完善的漏洞防御體系。在遵循國際漏洞披露規(guī)則前提下，聯(lián)合實驗室第一時間向受影響廠商提交了漏洞相關(guān)情況說明，協(xié)助受此影響廠商進(jìn)一步提升產(chǎn)品的安全性能，保護(hù)廣大用戶的網(wǎng)絡(luò)安全。同時，騰訊安全聯(lián)合實驗室還連同騰訊其他業(yè)務(wù)平臺，常年向Adobe、蘋果、微軟、谷歌等國際廠商提交漏洞研究報告，持續(xù)推動互聯(lián)網(wǎng)安全生態(tài)的發(fā)展。

　　在騰訊安全聯(lián)合實驗室之中，被業(yè)內(nèi)譽為“漏洞挖掘機(jī)”的騰訊安全玄武實驗室曾先后對外公布“BadBarcode”、“BadTunnel”、“應(yīng)用克隆”、“殘跡重用”、“BucketShock”、 “BadPower”等重要研究成果，發(fā)現(xiàn)并協(xié)助國內(nèi)外知名企業(yè)修復(fù)了上千個安全問題。在智能網(wǎng)聯(lián)汽車安全研究上，騰訊安全科恩實驗室曾榮獲特斯拉CEO埃隆·馬斯克寫親筆信致謝、入選“特斯拉安全研究員名人堂”、全球首個“寶馬集團(tuán)數(shù)字化及IT研發(fā)技術(shù)獎”等榮譽。隨著當(dāng)前產(chǎn)業(yè)互聯(lián)網(wǎng)時代的到來，護(hù)航產(chǎn)業(yè)數(shù)字化變革、守護(hù)全網(wǎng)用戶的信息安全也已成為騰訊安全聯(lián)合實驗室的重要使命之一。

　　隨著互聯(lián)網(wǎng)的快速發(fā)展，漏洞提交平臺和漏洞獎勵計劃也應(yīng)運而生。如今漏洞獎勵計劃已成為全球互聯(lián)網(wǎng)公司的重要安全策略之一。在過去的一年，微軟花費 1370 萬美元獎勵產(chǎn)品漏洞發(fā)現(xiàn)者，比上一年度同期的 440 萬美元多出逾兩倍。在2019年黑帽大會上，蘋果升級漏洞懸賞計劃從之前的每個漏洞 20 萬美元提升至 100 萬美元，希望借助白帽黑客力量解決自身產(chǎn)品安全隱患。

　　此外，每年全球范圍內(nèi)還會舉辦各種黑客大會和漏洞挑戰(zhàn)賽，圍繞信息安全領(lǐng)域的發(fā)展趨勢、創(chuàng)新技術(shù)及風(fēng)險漏洞進(jìn)行深入探討，集黑客最強大腦助推網(wǎng)絡(luò)安全的發(fā)展。隨著新基建時代的到來，新基建下的安全變得前所未有的重要。本月初，國內(nèi)首個新基建安全大賽正式啟動，目標(biāo)就是邀請行業(yè)技術(shù)精英，共同探索新基建場景應(yīng)用中潛在的安全風(fēng)險，將最終賽果反哺新基建安全標(biāo)準(zhǔn)制定。

　　當(dāng)前，以人工智能、云計算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施將進(jìn)一步融入數(shù)字社會，漏洞產(chǎn)業(yè)或?qū)⒚媾R全新挑戰(zhàn)的同時，必然也會保持高速發(fā)展，相信未來漏洞產(chǎn)業(yè)鏈也將涌現(xiàn)更多的業(yè)務(wù)模式和服務(wù)形態(tài)，來助力產(chǎn)業(yè)互聯(lián)網(wǎng)時代安全建設(shè)。

　　鏈接：https://www.chinaz.com/2020/0820/1173968.shtml