近日,國外知名安全研究機構Check Point發現,高通驍龍系列晶片的數字訊號處理晶片(DSP)中存在大量漏洞,總數多達400多。研究人員表示,由於易受攻擊的DSP晶片“幾乎見於世界上所有的安卓手機上”,導致全球受此漏洞影響的機型超過40%,其中不乏有全球知名品牌手機。
報告中指出,攻擊者利用這些漏洞不僅可以將手機變成一個完美的監聽工具,而且還能夠使手機持續無響應,或者鎖定手機上的所有資訊,使使用者永遠不可訪問。此外,攻擊者還可以利用惡意軟體和其他惡意程式碼完全隱藏惡意活動。
目前,高通已發表宣告確認這些漏洞的存在併發布了修復程式,建議使用者僅從受信任的位置安裝應用。但考慮到受這些漏洞影響的裝置數量和安卓機更新速度,該補丁在短時間內很難輕鬆地到達所有裝置,這意味著安全問題仍會出現。
安全盲區:系統漏洞下的“人為漏洞”
在高通DSP晶片被曝漏洞引起各方關注之時,大家甚至用“間諜工具”、“史詩級漏洞”、“致命隱患”等詞闡述被曝事件的嚴重性,強調的是系統漏洞安全“卡脖子”的問題。在這背後,其實有一個圍繞安全漏洞的挖掘、披露和利用發展成日益繁榮、高度組織性的龐大地下市場。
如很多事物一樣,風光的背後都有另一面,軟體系統同樣如此。各種型別的軟體系統為使用者帶來便利和提高生產率的同時,由於資訊系統從設計、開發、測試、部署和應用中存在脆弱點或缺陷,使得漏洞具有普遍性和長期性,並且貫穿軟體的全生命週期。
但事實上,漏洞本身並不會造成危害,可所有的安全威脅卻都是出於漏洞的被利用。鑑於極大的經濟利益訴求,攻擊者往往會在未經授權的情況下,利用這些漏洞訪問網路,竊取資料或操控資料,以及癱瘓網路的功能,從而獲取經濟利益和隱私資料。
安全漏洞已成為重大資訊保安事件的主要原因之一,頻發的安全漏洞事件更是讓全球關注達到了空前的高度。2017年5月12日,不法分子利用Windows系統“永恆之藍”漏洞製作WannaCry勒索病毒迅速在全球範圍內大規模爆發,至少150個國家、30萬名使用者中招,直接造成損失達80億美元。今年3月,萬豪連鎖酒店披露了一起安全漏洞,影響了520多萬酒店客人的資料,涉及個人詳細隱私資訊。
最近幾年,被曝漏洞數量逐漸攀升並且不斷重新整理記錄。根據Skybox Security最新發布的2020年漏洞和威脅趨勢報告顯示,截至目前2020年為9799份,2019年為7318份,增幅為34%。此資料也超過了2018年前六個月報告的最高記錄8485份,表明2020年的新增漏洞數量很可能會突破新記錄。而據騰訊安全威脅情報中心資料顯示,截至2019年12月底,仍有79%的企業終端上存在至少一個高危漏洞未修復,而這帶來的網路安全風險不言而喻。
聯動協同推進,打造漏洞產業鏈實踐閉環
在漏洞市場的內外雙重刺激下,包括位於前端的廠商、上游漏洞發現、中游漏洞披露以及下游漏洞利用等漏洞產業化鏈條逐漸形成,以此達到防禦駭客攻擊的目的。
作為漏洞產業的核心樞紐,以政府漏洞庫為代表的漏洞平臺發揮著巨大的價值,是衡量漏洞危險程度的重要標準。在我國,由國家計算機網路應急技術處理協調中心(CNCERT)聯合國內重要資訊系統單位、基礎電信運營商、網路安全廠商、軟體廠商和網際網路企業建立的國家網路安全漏洞庫,進行統一收集驗證、預警釋出及應急處置體系,切實提升在安全漏洞方面的整體研究水平和及時預防能力。
軟體產業是軟體漏洞產業的源頭,如何在前期快速識別和修補漏洞就顯得尤為重要。目前,國內外各大安全廠商、白帽駭客、以及研究/測評機構在漏洞挖掘及防禦方面貢獻了不小的力量。作為網際網路安全領先品牌,騰訊安全早在2016年就已成立了七大聯合實驗室,專注漏洞挖掘並負責向第三方廠商報告,同時向使用者提供漏洞修復解決方案。
在協助廠商修復漏洞方面,騰訊安全聯合實驗室目前在漏洞挖掘、檢測及防禦等重要環節中形成一套完善的漏洞防禦體系。在遵循國際漏洞披露規則前提下,聯合實驗室第一時間向受影響廠商提交了漏洞相關情況說明,協助受此影響廠商進一步提升產品的安全效能,保護廣大使用者的網路安全。同時,騰訊安全聯合實驗室還連同騰訊其他業務平臺,常年向Adobe、蘋果、微軟、谷歌等國際廠商提交漏洞研究報告,持續推動網際網路安全生態的發展。
在騰訊安全聯合實驗室之中,被業內譽為“漏洞挖掘機”的騰訊安全玄武實驗室曾先後對外公佈“BadBarcode”、“BadTunnel”、“應用克隆”、“殘跡重用”、“BucketShock”、 “BadPower”等重要研究成果,發現並協助國內外知名企業修復了上千個安全問題。在智慧網聯汽車安全研究上,騰訊安全科恩實驗室曾榮獲特斯拉CEO埃隆·馬斯克寫親筆信致謝、入選“特斯拉安全研究員名人堂”、全球首個“寶馬集團數字化及IT研發技術獎”等榮譽。隨著當前產業網際網路時代的到來,護航產業數字化變革、守護全網使用者的資訊保安也已成為騰訊安全聯合實驗室的重要使命之一。
隨著網際網路的快速發展,漏洞提交平臺和漏洞獎勵計劃也應運而生。如今漏洞獎勵計劃已成為全球網際網路公司的重要安全策略之一。在過去的一年,微軟花費 1370 萬美元獎勵產品漏洞發現者,比上一年度同期的 440 萬美元多出逾兩倍。在2019年黑帽大會上,蘋果升級漏洞懸賞計劃從之前的每個漏洞 20 萬美元提升至 100 萬美元,希望藉助白帽駭客力量解決自身產品安全隱患。
此外,每年全球範圍內還會舉辦各種駭客大會和漏洞挑戰賽,圍繞資訊保安領域的發展趨勢、創新技術及風險漏洞進行深入探討,集駭客最強大腦助推網路安全的發展。隨著新基建時代的到來,新基建下的安全變得前所未有的重要。本月初,國內首個新基建安全大賽正式啟動,目標就是邀請行業技術精英,共同探索新基建場景應用中潛在的安全風險,將最終賽果反哺新基建安全標準制定。
當前,以人工智慧、雲端計算、區塊鏈等為代表的新技術基礎設施將進一步融入數字社會,漏洞產業或將面臨全新挑戰的同時,必然也會保持高速發展,相信未來漏洞產業鏈也將湧現更多的業務模式和服務形態,來助力產業網際網路時代安全建設。