鄭亞紅

相比于一年多以前的“芯片大漏洞”事件，此次英國(guó)安全機(jī)構(gòu)公布的一份關(guān)于高通的漏洞事件并未在業(yè)內(nèi)掀起更大波瀾。4月28日，國(guó)內(nèi)媒體的第一波報(bào)道則將事件方向引向了“歧途”，稱高通芯片存在重大漏洞。

在消息公布之前，高通已經(jīng)與披露機(jī)構(gòu)達(dá)成了溝通機(jī)制，并修復(fù)了補(bǔ)丁，阻止漏洞發(fā)展為一個(gè)安全事件。對(duì)于整個(gè)行業(yè)而言，芯片漏洞難以完全避免，漏洞發(fā)生之后的協(xié)作、修復(fù)和披露，這些過(guò)程才更加考驗(yàn)這些科技大佬的本事。

01

一年多以前，“Intel芯片漏洞”在全球科技界引發(fā)了巨大風(fēng)暴?；貞浧饋?lái)，一位芯片業(yè)內(nèi)人士仍心有余悸，“鬧得太兇了”。時(shí)隔一年，高通芯片又爆出安全事件，波及40余款芯片組，媒體稱上億臺(tái)采用相關(guān)芯片的設(shè)備被卷入。

看上去，一場(chǎng)全球級(jí)別的網(wǎng)絡(luò)安全事件一觸即發(fā)。早在4月23日，英國(guó)網(wǎng)絡(luò)安全審計(jì)機(jī)構(gòu)NCC Group就披露了這則高通芯片漏洞消息。消息稱，高通40余款芯片的QSEE存在漏洞，黑客可利用該漏洞恢復(fù)ECDSA密鑰，獲取本該放在安全世界的隱私數(shù)據(jù)。

高通芯片中的QSEE本身是一個(gè)基于ARM架構(gòu)TrustZone設(shè)計(jì)的安全執(zhí)行環(huán)境，供可靠軟件與機(jī)密資料使用，隔離于一般世界。在QSEE中處理的數(shù)據(jù)通常包括私人加密密鑰和密碼，這意味著，QSEE的地位相當(dāng)于是芯片里的保險(xiǎn)柜。

頗為人注意的是，此次涉及芯片包括高通驍龍820、835、845、855，幾乎涵蓋近幾年國(guó)內(nèi)旗艦級(jí)別手機(jī)的半壁江山。小米、vivo、OPPO、中興、一加、努比亞等手機(jī)品牌的多款高端機(jī)型均未能幸免于“難”。

據(jù)《財(cái)經(jīng)天下》周刊不完全統(tǒng)計(jì)，有大約30款不同型號(hào)、不同品牌的國(guó)產(chǎn)手機(jī)內(nèi)置了以上四款芯片。時(shí)下最新熱門(mén)機(jī)型包括小米9、vivo iQOO、OPPO Reno 10、中興A2020 Pro變焦版均內(nèi)置高通驍龍855芯片。

但一周過(guò)后，這個(gè)漏洞看來(lái)只是高通茶杯中的小風(fēng)暴，并未演化成行業(yè)的龍卷風(fēng)。

“還沒(méi)聽(tīng)說(shuō)這件事”，國(guó)內(nèi)媒體在4月28日集中報(bào)道這一快訊后，從事芯片行業(yè)多年的陳鋒卻未在業(yè)內(nèi)聽(tīng)到對(duì)此事的討論。在他看來(lái)，此次事件發(fā)酵的速度和影響力遠(yuǎn)遠(yuǎn)不及“英特爾事件”。以經(jīng)驗(yàn)判斷，陳鋒稱這應(yīng)該只是一次行業(yè)內(nèi)常規(guī)事件，理論上并未造成巨大損失。

業(yè)內(nèi)波瀾不驚的主要原因是漏洞并未造成實(shí)質(zhì)損失，且這是一次業(yè)內(nèi)的常規(guī)披露。據(jù)NCC Group消息，2018年3月，NCC Group的安全調(diào)查員Keegan Ryan發(fā)現(xiàn)了這其中存在的漏洞。他發(fā)現(xiàn)以ECDSA進(jìn)行加密的簽名算法存在被攻破的可能性，會(huì)讓存放在安全世界的私鑰外泄到一般世界。Ryan在外媒的采訪中透露，攻擊者不需要物理訪問(wèn)高通驅(qū)動(dòng)的設(shè)備來(lái)提取密鑰，只需要對(duì)手機(jī)root就可以做到，而root的難度并不大，甚至在App商城中就可以下載惡意的root軟件。

而一旦這個(gè)漏洞被黑客利用，后果則難以想象。幸運(yùn)的是，刺破氣球的針并沒(méi)有扎下去。

消息披露后，高通股價(jià)穩(wěn)定，也未出現(xiàn)大幅波動(dòng)。截至美東時(shí)間4月26日，高通以86.64美元/股收盤(pán)，增幅1.85%。

02

針對(duì)此次事件，高通方面回應(yīng)《財(cái)經(jīng)天下》周刊，這并非是一次突發(fā)事件，高通去年已獲知此事，漏洞早在消息公布之前已經(jīng)得到修復(fù)，全球并未發(fā)現(xiàn)任何利用該漏洞而引發(fā)的安全事件。高通內(nèi)部人士稱，該漏洞需要獲取到內(nèi)核權(quán)限才能發(fā)起進(jìn)攻，而高通于2018年10月便做好補(bǔ)丁提供給OEM廠商。

那么為何早在2018年3月就發(fā)現(xiàn)的漏洞，直到一年多以后才披露給大眾呢？

高通方面對(duì)此稱，“這是一次雙方按照行業(yè)慣例進(jìn)行的披露”。并表示與行業(yè)安全機(jī)構(gòu)合作及時(shí)發(fā)現(xiàn)軟件漏洞并提供安全補(bǔ)丁是行業(yè)常規(guī)做法?！拔覀児膭?lì)白帽子公司去發(fā)現(xiàn)漏洞，企業(yè)之后針對(duì)漏洞去修復(fù)補(bǔ)丁?！?/p>

NCC Group公布的時(shí)間表顯示，2018年3月19日高通收到該安全漏洞通知，5月開(kāi)始進(jìn)行修復(fù)，10月高通將此事通知給它的客戶，并提供了解決漏洞的補(bǔ)丁，這之后的6個(gè)月里，運(yùn)營(yíng)商或者終端商會(huì)對(duì)此進(jìn)行重新認(rèn)證和更新上線。因此，2018年11月，NCC Group請(qǐng)求更新披露時(shí)間，2019年3月雙方討論將披露時(shí)間定為4月23日。

多位業(yè)內(nèi)人士向《財(cái)經(jīng)天下》周刊表示，既然高通已經(jīng)修復(fù)了補(bǔ)丁，并提供給手機(jī)廠商，那么對(duì)于終端用戶而言，及時(shí)進(jìn)行軟件和系統(tǒng)更新，即可確保終端的安全性。

對(duì)于高通的客戶，如中國(guó)那些手機(jī)廠商來(lái)說(shuō)，他們需要做的是將高通提供的補(bǔ)丁上線，更新其OTA中心，提示用戶更新相關(guān)軟件。對(duì)此，外媒打趣稱：“考慮到安卓糟糕的更新速度，感覺(jué)并不讓人放心?！?/p>

一位業(yè)內(nèi)人士表示，此類安全事件的合作在業(yè)內(nèi)頗為常見(jiàn)，是一種“負(fù)責(zé)與合作式的機(jī)制”。對(duì)這個(gè)披露機(jī)制利弊和博弈展現(xiàn)的最為完整的，是2018年年初那場(chǎng)芯片大漏洞事件。

2017年6月，谷歌旗下白帽黑客Project Zero 團(tuán)隊(duì)，向英特爾、AMD、ARM公司通報(bào)，發(fā)現(xiàn)安全漏洞：熔斷（Meltdown）和幽靈（Spectre）。這兩個(gè)芯片級(jí)漏洞可以讓黑客訪問(wèn)到系統(tǒng)內(nèi)存，從而讀取敏感信息，竊取核心數(shù)據(jù)。比此次高通事件更為可怖的是，它波及的范圍更廣：一切地球上正在使用現(xiàn)代芯片的設(shè)備。

英特爾、微軟、谷歌、蘋(píng)果、亞馬遜、ARM等科技巨擘無(wú)一例外，全在這兩個(gè)病毒射程之內(nèi)?？萍即罄袀兛涨皥F(tuán)結(jié)，其中谷歌與眾公司達(dá)成協(xié)議，將于2018年1月9日披露漏洞信息，即使那時(shí)問(wèn)題沒(méi)有解決。

按原計(jì)劃，各個(gè)企業(yè)將會(huì)在期限到來(lái)之前進(jìn)行一次“修復(fù)升級(jí)”，這看起來(lái)很稀松平常。然而，與高通事件不同的是，在約定的披露時(shí)間到來(lái)前一周，科技媒體踢爆了這個(gè)秘密，隨后谷歌的團(tuán)隊(duì)也提前公布了漏洞細(xì)節(jié)。而此時(shí)各位科技大佬還未來(lái)得及開(kāi)始修復(fù)，這讓他們措手不及。這之后一周科技圈被輿論攻勢(shì)和巨頭的公告聲明淹沒(méi)。事件發(fā)酵后，英特爾股價(jià)首當(dāng)其沖一路走低。

盡管，漏洞并未造成嚴(yán)重后果，但一眾科技企業(yè)長(zhǎng)期以來(lái)的漏洞處理機(jī)制卻以這種形式公開(kāi)在大眾面前。長(zhǎng)達(dá)七個(gè)月的保密期限中，涉及企業(yè)未能完成漏洞修復(fù)，成為輿論吐槽的焦點(diǎn)。

當(dāng)時(shí)，安全信息網(wǎng)站安全牛主編李少鵬在接受《財(cái)經(jīng)天下》周刊采訪時(shí)，就已經(jīng)預(yù)見(jiàn)到芯片漏洞不會(huì)是孤例和特殊事件。他表示，隨著時(shí)代發(fā)展，類似芯片這種底層設(shè)計(jì)會(huì)暴露出一些新問(wèn)題，將來(lái)可能還有新的芯片漏洞出來(lái)。