鄭亞紅

相比于一年多以前的“芯片大漏洞”事件，此次英國安全機(jī)構(gòu)公布的一份關(guān)于高通的漏洞事件并未在業(yè)內(nèi)掀起更大波瀾。4月28日，國內(nèi)媒體的第一波報道則將事件方向引向了“歧途”，稱高通芯片存在重大漏洞。

在消息公布之前，高通已經(jīng)與披露機(jī)構(gòu)達(dá)成了溝通機(jī)制，并修復(fù)了補(bǔ)丁，阻止漏洞發(fā)展為一個安全事件。對于整個行業(yè)而言，芯片漏洞難以完全避免，漏洞發(fā)生之后的協(xié)作、修復(fù)和披露，這些過程才更加考驗(yàn)這些科技大佬的本事。

01

一年多以前，“Intel芯片漏洞”在全球科技界引發(fā)了巨大風(fēng)暴。回憶起來，一位芯片業(yè)內(nèi)人士仍心有余悸，“鬧得太兇了”。時隔一年，高通芯片又爆出安全事件，波及40余款芯片組，媒體稱上億臺采用相關(guān)芯片的設(shè)備被卷入。

看上去，一場全球級別的網(wǎng)絡(luò)安全事件一觸即發(fā)。早在4月23日，英國網(wǎng)絡(luò)安全審計機(jī)構(gòu)NCC Group就披露了這則高通芯片漏洞消息。消息稱，高通40余款芯片的QSEE存在漏洞，黑客可利用該漏洞恢復(fù)ECDSA密鑰，獲取本該放在安全世界的隱私數(shù)據(jù)。

高通芯片中的QSEE本身是一個基于ARM架構(gòu)TrustZone設(shè)計的安全執(zhí)行環(huán)境，供可靠軟件與機(jī)密資料使用，隔離于一般世界。在QSEE中處理的數(shù)據(jù)通常包括私人加密密鑰和密碼，這意味著，QSEE的地位相當(dāng)于是芯片里的保險柜。

頗為人注意的是，此次涉及芯片包括高通驍龍820、835、845、855，幾乎涵蓋近幾年國內(nèi)旗艦級別手機(jī)的半壁江山。小米、vivo、OPPO、中興、一加、努比亞等手機(jī)品牌的多款高端機(jī)型均未能幸免于“難”。

據(jù)《財經(jīng)天下》周刊不完全統(tǒng)計，有大約30款不同型號、不同品牌的國產(chǎn)手機(jī)內(nèi)置了以上四款芯片。時下最新熱門機(jī)型包括小米9、vivo iQOO、OPPO Reno 10、中興A2020 Pro變焦版均內(nèi)置高通驍龍855芯片。

但一周過后，這個漏洞看來只是高通茶杯中的小風(fēng)暴，并未演化成行業(yè)的龍卷風(fēng)。

“還沒聽說這件事”，國內(nèi)媒體在4月28日集中報道這一快訊后，從事芯片行業(yè)多年的陳鋒卻未在業(yè)內(nèi)聽到對此事的討論。在他看來，此次事件發(fā)酵的速度和影響力遠(yuǎn)遠(yuǎn)不及“英特爾事件”。以經(jīng)驗(yàn)判斷，陳鋒稱這應(yīng)該只是一次行業(yè)內(nèi)常規(guī)事件，理論上并未造成巨大損失。

業(yè)內(nèi)波瀾不驚的主要原因是漏洞并未造成實(shí)質(zhì)損失，且這是一次業(yè)內(nèi)的常規(guī)披露。據(jù)NCC Group消息，2018年3月，NCC Group的安全調(diào)查員Keegan Ryan發(fā)現(xiàn)了這其中存在的漏洞。他發(fā)現(xiàn)以ECDSA進(jìn)行加密的簽名算法存在被攻破的可能性，會讓存放在安全世界的私鑰外泄到一般世界。Ryan在外媒的采訪中透露，攻擊者不需要物理訪問高通驅(qū)動的設(shè)備來提取密鑰，只需要對手機(jī)root就可以做到，而root的難度并不大，甚至在App商城中就可以下載惡意的root軟件。

而一旦這個漏洞被黑客利用，后果則難以想象。幸運(yùn)的是，刺破氣球的針并沒有扎下去。

消息披露后，高通股價穩(wěn)定，也未出現(xiàn)大幅波動。截至美東時間4月26日，高通以86.64美元/股收盤，增幅1.85%。

02

針對此次事件，高通方面回應(yīng)《財經(jīng)天下》周刊，這并非是一次突發(fā)事件，高通去年已獲知此事，漏洞早在消息公布之前已經(jīng)得到修復(fù)，全球并未發(fā)現(xiàn)任何利用該漏洞而引發(fā)的安全事件。高通內(nèi)部人士稱，該漏洞需要獲取到內(nèi)核權(quán)限才能發(fā)起進(jìn)攻，而高通于2018年10月便做好補(bǔ)丁提供給OEM廠商。

那么為何早在2018年3月就發(fā)現(xiàn)的漏洞，直到一年多以后才披露給大眾呢？

高通方面對此稱，“這是一次雙方按照行業(yè)慣例進(jìn)行的披露”。并表示與行業(yè)安全機(jī)構(gòu)合作及時發(fā)現(xiàn)軟件漏洞并提供安全補(bǔ)丁是行業(yè)常規(guī)做法。“我們鼓勵白帽子公司去發(fā)現(xiàn)漏洞，企業(yè)之后針對漏洞去修復(fù)補(bǔ)丁?！?/p>

NCC Group公布的時間表顯示，2018年3月19日高通收到該安全漏洞通知，5月開始進(jìn)行修復(fù)，10月高通將此事通知給它的客戶，并提供了解決漏洞的補(bǔ)丁，這之后的6個月里，運(yùn)營商或者終端商會對此進(jìn)行重新認(rèn)證和更新上線。因此，2018年11月，NCC Group請求更新披露時間，2019年3月雙方討論將披露時間定為4月23日。

多位業(yè)內(nèi)人士向《財經(jīng)天下》周刊表示，既然高通已經(jīng)修復(fù)了補(bǔ)丁，并提供給手機(jī)廠商，那么對于終端用戶而言，及時進(jìn)行軟件和系統(tǒng)更新，即可確保終端的安全性。

對于高通的客戶，如中國那些手機(jī)廠商來說，他們需要做的是將高通提供的補(bǔ)丁上線，更新其OTA中心，提示用戶更新相關(guān)軟件。對此，外媒打趣稱：“考慮到安卓糟糕的更新速度，感覺并不讓人放心?！?/p>

一位業(yè)內(nèi)人士表示，此類安全事件的合作在業(yè)內(nèi)頗為常見，是一種“負(fù)責(zé)與合作式的機(jī)制”。對這個披露機(jī)制利弊和博弈展現(xiàn)的最為完整的，是2018年年初那場芯片大漏洞事件。

2017年6月，谷歌旗下白帽黑客Project Zero 團(tuán)隊(duì)，向英特爾、AMD、ARM公司通報，發(fā)現(xiàn)安全漏洞：熔斷（Meltdown）和幽靈（Spectre）。這兩個芯片級漏洞可以讓黑客訪問到系統(tǒng)內(nèi)存，從而讀取敏感信息，竊取核心數(shù)據(jù)。比此次高通事件更為可怖的是，它波及的范圍更廣：一切地球上正在使用現(xiàn)代芯片的設(shè)備。

英特爾、微軟、谷歌、蘋果、亞馬遜、ARM等科技巨擘無一例外，全在這兩個病毒射程之內(nèi)。科技大佬們空前團(tuán)結(jié)，其中谷歌與眾公司達(dá)成協(xié)議，將于2018年1月9日披露漏洞信息，即使那時問題沒有解決。

按原計劃，各個企業(yè)將會在期限到來之前進(jìn)行一次“修復(fù)升級”，這看起來很稀松平常。然而，與高通事件不同的是，在約定的披露時間到來前一周，科技媒體踢爆了這個秘密，隨后谷歌的團(tuán)隊(duì)也提前公布了漏洞細(xì)節(jié)。而此時各位科技大佬還未來得及開始修復(fù)，這讓他們措手不及。這之后一周科技圈被輿論攻勢和巨頭的公告聲明淹沒。事件發(fā)酵后，英特爾股價首當(dāng)其沖一路走低。

盡管，漏洞并未造成嚴(yán)重后果，但一眾科技企業(yè)長期以來的漏洞處理機(jī)制卻以這種形式公開在大眾面前。長達(dá)七個月的保密期限中，涉及企業(yè)未能完成漏洞修復(fù)，成為輿論吐槽的焦點(diǎn)。

當(dāng)時，安全信息網(wǎng)站安全牛主編李少鵬在接受《財經(jīng)天下》周刊采訪時，就已經(jīng)預(yù)見到芯片漏洞不會是孤例和特殊事件。他表示，隨著時代發(fā)展，類似芯片這種底層設(shè)計會暴露出一些新問題，將來可能還有新的芯片漏洞出來。