近日,国外知名安全研究机构Check Point发现,高通骁龙系列芯片的数字信号处理芯片(DSP)中存在大量漏洞,总数多达 400 多。研究人员表示,由于易受攻击的DSP芯片“几乎见于世界上所有的安卓手机上”,导致全球受此漏洞影响的机型超过40%,其中不乏有全球知名品牌手机。
报告中指出,攻击者利用这些漏洞不仅可以将手机变成一个完美的监听工具,而且还能够使手机持续无响应,或者锁定手机上的所有信息,使用户永远不可访问。此外,攻击者还可以利用恶意软件和其他恶意代码完全隐藏恶意活动。
目前,高通已发表声明确认这些漏洞的存在并发布了修复程序,建议用户仅从受信任的位置安装应用。但考虑到受这些漏洞影响的设备数量和安卓机更新速度,该补丁在短时间内很难轻松地到达所有设备,这意味着安全问题仍会出现。
安全盲区:系统漏洞下的“人为漏洞”
在高通DSP芯片被曝漏洞引起各方关注之时,大家甚至用“间谍工具”、“史诗级漏洞”、“致命隐患”等词阐述被曝事件的严重性,强调的是系统漏洞安全“卡脖子”的问题。在这背后,其实有一个围绕安全漏洞的挖掘、披露和利用发展成日益繁荣、高度组织性的庞大地下市场。
如很多事物一样,风光的背后都有另一面,软件系统同样如此。各种类型的软件系统为用户带来便利和提高生产率的同时,由于信息系统从设计、开发、测试、部署和应用中存在脆弱点或缺陷,使得漏洞具有普遍性和长期性,并且贯穿软件的全生命周期。
但事实上,漏洞本身并不会造成危害,可所有的安全威胁却都是出于漏洞的被利用。鉴于极大的经济利益诉求,攻击者往往会在未经授权的情况下,利用这些漏洞访问网络,窃取数据或操控数据,以及瘫痪网络的功能,从而获取经济利益和隐私数据。
安全漏洞已成为重大信息安全事件的主要原因之一,频发的安全漏洞事件更是让全球关注达到了空前的高度。 2017 年 5 月 12 日,不法分子利用Windows系统“永恒之蓝”漏洞制作WannaCry勒索病毒迅速在全球范围内大规模爆发,至少 150 个国家、 30 万名用户中招,直接造成损失达 80 亿美元。今年 3 月,万豪连锁酒店披露了一起安全漏洞,影响了 520 多万酒店客人的数据,涉及个人详细隐私信息。
最近几年,被曝漏洞数量逐渐攀升并且不断刷新记录。根据Skybox Security最新发布的 2020 年漏洞和威胁趋势报告显示,截至目前 2020 年为 9799 份, 2019 年为 7318 份,增幅为34%。此数据也超过了 2018 年前六个月报告的最高记录 8485 份,表明 2020 年的新增漏洞数量很可能会突破新记录。而据腾讯安全威胁情报中心数据显示,截至 2019 年 12 月底,仍有79%的企业终端上存在至少一个高危漏洞未修复,而这带来的网络安全风险不言而喻。
联动协同推进,打造漏洞产业链实践闭环
在漏洞市场的内外双重刺激下,包括位于前端的厂商、上游漏洞发现、中游漏洞披露以及下游漏洞利用等漏洞产业化链条逐渐形成,以此达到防御黑客攻击的目的。
作为漏洞产业的核心枢纽,以政府漏洞库为代表的漏洞平台发挥着巨大的价值,是衡量漏洞危险程度的重要标准。在我国,由国家计算机网络应急技术处理协调中心(CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库,进行统一收集验证、预警发布及应急处置体系,切实提升在安全漏洞方面的整体研究水平和及时预防能力。
软件产业是软件漏洞产业的源头,如何在前期快速识别和修补漏洞就显得尤为重要。目前,国内外各大安全厂商、白帽黑客、以及研究/测评机构在漏洞挖掘及防御方面贡献了不小的力量。作为互联网安全领先品牌,腾讯安全早在 2016 年就已成立了七大联合实验室,专注漏洞挖掘并负责向第三方厂商报告,同时向用户提供漏洞修复解决方案。
在协助厂商修复漏洞方面,腾讯安全联合实验室目前在漏洞挖掘、检测及防御等重要环节中形成一套完善的漏洞防御体系。在遵循国际漏洞披露规则前提下,联合实验室第一时间向受影响厂商提交了漏洞相关情况说明,协助受此影响厂商进一步提升产品的安全性能,保护广大用户的网络安全。同时,腾讯安全联合实验室还连同腾讯其他业务平台,常年向Adobe、苹果、微软、谷歌等国际厂商提交漏洞研究报告,持续推动互联网安全生态的发展。
在腾讯安全联合实验室之中,被业内誉为“漏洞挖掘机”的腾讯安全玄武实验室曾先后对外公布“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”、 “BadPower”等重要研究成果,发现并协助国内外知名企业修复了上千个安全问题。在智能网联汽车安全研究上,腾讯安全科恩实验室曾荣获特斯拉CEO埃隆·马斯克写亲笔信致谢、入选“特斯拉安全研究员名人堂”、全球首个“宝马集团数字化及IT研发技术奖”等荣誉。随着当前产业互联网时代的到来,护航产业数字化变革、守护全网用户的信息安全也已成为腾讯安全联合实验室的重要使命之一。
随着互联网的快速发展,漏洞提交平台和漏洞奖励计划也应运而生。如今漏洞奖励计划已成为全球互联网公司的重要安全策略之一。在过去的一年,微软花费 1370 万美元奖励产品漏洞发现者,比上一年度同期的 440 万美元多出逾两倍。在 2019 年黑帽大会上,苹果升级漏洞悬赏计划从之前的每个漏洞 20 万美元提升至 100 万美元,希望借助白帽黑客力量解决自身产品安全隐患。
此外,每年全球范围内还会举办各种黑客大会和漏洞挑战赛,围绕信息安全领域的发展趋势、创新技术及风险漏洞进行深入探讨,集黑客最强大脑助推网络安全的发展。随着新基建时代的到来,新基建下的安全变得前所未有的重要。本月初,国内首个新基建安全大赛正式启动,目标就是邀请行业技术精英,共同探索新基建场景应用中潜在的安全风险,将最终赛果反哺新基建安全标准制定。
当前,以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会,漏洞产业或将面临全新挑战的同时,必然也会保持高速发展,相信未来漏洞产业链也将涌现更多的业务模式和服务形态,来助力产业互联网时代安全建设。