高通DSP芯片被曝6个漏洞事件引发的安全危机猜想?
最近,国外着名的安全研究机构CheckPoint发现高吞吐量小龙系列芯片的数字信号处理芯片(DSP)有很多漏洞,总数达到400多个。研究人员表示,由于受到攻击的DSP芯片几乎在世界上所有的安卓手机上都看到,世界上受到这个脆弱性影响的机型超过了40%,其中有世界着名品牌的手机。
报告指出,攻击者不仅可以利用这些漏洞将手机变成完美的监控工具,还可以使手机不断响应,锁定手机信息,使用户永远无法访问。此外,攻击者还可以利用恶意软件和其他恶意代码完全隐藏恶意活动。
目前,高吞吐量发表声明确认了这些脆弱性的存在,并发表了修复程序,建议用户只从可靠的位置安装应用程序。但是,考虑到受这些漏洞影响的设备数量和安卓更新速度,补丁很难在短时间内轻松到达所有设备,这意味着安全问题仍然存在。
安全死角:在系统脆弱性下的人为脆弱性
高吞吐量DSP芯片被暴露的脆弱性引起关注时,用间谍工具、史诗级脆弱性、致命危险性等语言阐述暴露事件的严重性,强调系统脆弱性安全卡住脖子的问题。在这背后,实际上有围绕安全漏洞的挖掘、公开和利用,发展成越来越繁荣、组织性高的巨大地下市场。
像很多东西一样,风景背后有另一面,软件系统也是如此。各种类型的软件系统在为用户带来便利和提高工作效率的同时,由于信息系统在设计、开发、测试、部署和应用中存在漏洞或缺陷,使漏洞具有普遍性和长期性,贯穿软件的全生命周期。
但实际上,脆弱性本身并不危害,但所有的安全威胁都是由于脆弱性的利用。针对极大的经济效益诉求,攻击者在未经许可的情况下,利用这些漏洞访问网络,窃取数据,操作数据,使网络瘫痪的功能,获得经济效益和隐私数据。
安全漏洞已成为重大信息安全事件的主要原因之一,频繁的安全漏洞事件使世界关注到空前的高度。2017年5月12日,非法者利用Windows系统的永恒蓝洞制作WannaCry威胁病毒,在世界范围内迅速大规模开发者_StackOverflow社区爆炸,至少招募了150个国家、30万用户,直接损失达到80亿美元。今年3月,万豪连锁酒店公开了安全漏洞,影响了520万人以上酒店客人的数据,涉及到个人的详细隐私信息。
近年来,暴露的漏洞数量逐渐上升,记录不断更新。根据SkyboxSecurity最新发布的2020年脆弱性和威胁性趋势报告,截至2020年为9799份,2019年为7318份,增长率为34%。该数据也超过了2018年前6个月报告的最高记录8485份,表明2020年新的漏洞数量很可能突破新的记录。腾讯安全威胁信息中心数据显示,截至2019年12月底,79%的企业终端至少有一个高危漏洞没有修复,网络安全风险不言而喻。
联动推广,打造漏洞产业链实践闭环
在漏洞市场内外双重刺激下,包括前端制造商、上游漏洞发现、中游漏洞披露、下游漏洞利用等漏洞产业化链逐渐形成,从而达到防御黑客攻击的目的。
作为漏洞产业的核心枢纽,以政府漏洞库为代表的漏洞平台发挥着巨大的价值,是衡量漏洞危险程度的重要标准。在我国,国家计算机网络应急技术处理协调中心(CNCERT)与国内重要信息系统机构、基础电信运营商、网络安全厂商、软件厂商和网络企业建立的国家网络安全漏洞库联合,统一收集验证、警告发布和应急处理系统,切实提高安全漏洞的整体研究水平和及时预防能力。
软件行业是软件漏洞行业的源头,如何在前期快速识别和修补漏洞尤为重要。目前,国内外主要安全制造商、白帽黑客和研究/评估机构在漏洞挖掘和防御方面贡献了很大的力量。作为互联网安全领先品牌,腾讯安全早在2016年就成立了七大联合实验室,专注于挖坑,负责向第三方厂家汇报,同时也为用户提供了挖坑修复解决方案。
在协助厂家修复漏洞方面,腾讯安全联合实验室目前在漏洞挖掘、检测和防御等重要环节形成了完善的漏洞防御系统。在遵循国际漏洞披露规则的前提下,联合实验室首先向受影响的制造商提交了漏洞相关情况说明,协助受影响的制造商进一步提高产品安全性能,保护广大用户的网络安全。同时,腾讯安全联合实验室与腾讯其他业务平台联合,多年向Adobe、苹果、微软、谷歌等国际厂商提交漏洞研究报告,不断推进网络安全生态的发展。
在腾讯安全联合实验室中,业内被称为脆弱挖掘机的腾讯安全玄武实验室相继发表了BadBarcode、BadTunel、应用克隆、残留再利用、BucketShock、BadPower等重要研究成果,发现并协助国内外着名企业修复了数千个安全问题。在智能网联汽车安全研究上,腾讯安全科恩实验室曾荣获特斯拉CEO埃隆马斯克写亲笔信致谢、入选特斯拉安全研究员名人堂、全球首个宝马集团数字化及IT研发技术奖等荣誉。随着当前产业互联网时代的到来,护航产业数字化变革、守护全网用户的信息安全也已成为腾讯安全联合实验室的重要使命之一。
随着互联网的快速发展,漏洞提交平台和漏洞奖励计划也应运而生。如今,漏洞奖励计划已经成为世界互联网公司的重要安全战略之一。过去一年,微软花费1370万美元奖励产品漏洞的发现者比去年同期的440万美元多了两倍以上。在2019年黑帽大会上,苹果升级漏洞悬赏计划从以前的每个漏洞20万美元上升到100万美元,希望用白帽黑客的力量解决自己产品的安全危险。
此外,每年全球召开各种黑客大会和脆弱性挑战比赛,深入探讨信息安全领域的发展趋势、创新技术和风险脆弱性,集中黑客最强的大脑促进网络安全的发展。随着新基础设施时代的到来,新基础设施下的安全至关重要。本月初,国内首个新基建安全大赛正式启动,目标就是邀请行业技术精英,共同探索新基建场景应用中潜在的安全风险,将最终赛果反哺新基建安全标准制定。
当前,以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会,漏洞产业或将面临全新挑战的同时,必然也会保持高速发展,相信未来漏洞产业链也将涌现更多的业务模式和服务形态,来助力产业互联网时代安全建设。
精彩评论