幽靈和熔斷將會再現 設備永遠不會真正安全

在承認了現代智能手機晶元中的一個重大安全漏洞之後，晶元公司的CEO又給我們帶來了更為殘酷的壞消息。

「

類似的東西可能還有很多，而我們多年來都以為它們是安全的。對安全威脅思考足夠深入的人，很可能找出其他方式來利用這些被認為是完全安全的系統。

——ARM首席執行官西蒙·希格斯

西蒙·希格斯

今年1月初，大部分現代處理器中隱藏新漏洞的消息爆發。這次的漏洞不僅危及PC，連手機也未能倖免，波及的處理器甚至可追溯至20多年前。原因是英特爾、ARM等晶元廠商使用的設計技術可令黑客從受害設備內存中獲取用戶的隱私數據，比如口令、加密密鑰或敏感信息。

新漏洞名為幽靈和熔斷，其最具破壞性的一點在於：不特定於某一具體的晶元製造商或設備。這兩個漏洞幾乎影響到所有計算設備，從手機到PC到伺服器無一倖免。計算行業正忙於更新操作系統、Web瀏覽器、雲計算服務及其他需要保證安全的基礎服務，試圖減小該問題的嚴重性。

「

只要想想人們已經利用這些漏洞做了什麼就頭大。之前從來沒人想到過這種情況。所有的發現都是公之於眾之後才顯現出其重要性，這兩個漏洞也不例外。

60億晶元

ARM是一家英國公司，其設計是世界上大多數移動處理器的基礎，蘋果和三星的產品也使用ARM的技術。日本電信巨頭軟銀集團同樣看上了ARM在業界的重要地位，於2016年年中以320億美元的價格買下了這家公司。ARM自30年前成立以來，供售出了超過1200億枚晶元。

這1200億枚晶元中，5%（約60億）存在幽靈漏洞。上周，蘋果宣稱，其所有iOS設備（所用蘋果晶元基於ARM的處理器架構）和Mac機（使用英特爾晶元）均受幽靈漏洞影響。

ARM的另一客戶高通，則在一份聲明中稱已注意到漏洞的存在，正與ARM和其他公司協作評估這一問題並開發修復補丁。

高通在本月初的聲明中稱：「我們正為受影響的產品積極部署相應的緩解措施，儘力增強產品的安全性。」他們建議客戶對設備進行定期更新。

還有另一款基於ARM的處理器可能受到熔斷漏洞的影響，但該處理器還太新，尚未隨產品發售。ARM首席執行官希格斯沒有透露是哪家晶元合作夥伴製造該處理器，也未說明該處理器將應用到什麼設備上。

移動標靶

去年10月的ARM大會上，希格斯說「網路安全就是一團糟」，隨著人工智慧和物聯網的興起，我們必須在網路上做點什麼。ARM的觀點是，設備必須從硬體上保證安全，而不僅僅是從軟體上。

至於易受熔斷和幽靈漏洞影響的設計技術，希格斯認為，公司企業不會將之從處理器中移除，因為該技術對處理速度的提升太大了，高端晶元中是不可能不用這種技術的。

希格斯說：「最終的系統是軟體和硬體的結合，其編寫和測試都會進一步發展，以確保使用該方法的風險得到充分理解。」

ARM尚未決定如何修改其晶元架構或軟體以防止類似安全風險再次出現。但希格斯稱，除了對處理器做出微調，該公司還將強化員工隊伍，考慮收購併花更多時間在檢查類似潛在漏洞上。

被問及為什麼ARM不是自己發現漏洞而是從安全研究員處得知，希格斯回應道：「這說明安全界就是個移動靶。往往在你以為一切盡在掌控的時候，就又冒出個什麼東西來。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！