近日，網絡安全供應商 Check Point 發表了聲明，說該公司在一項代號為“Achilles”研究中，對高通驍龍的數字信號處理（DSP）芯片進行了廣泛的安全性評估，發現其中存在大量漏洞，總數多達400多。

研究人員表示，由于易受攻擊的DSP芯片“幾乎見于世界上所有的安卓手機上”，導致全球受此漏洞影響的機型超過40%，其中不乏有全球知名品牌手機。

報告中指出，攻擊者利用這些漏洞不僅可以將手機變成一個完美的監聽工具，而且還能夠使手機持續無響應，或者鎖定手機上的所有信息，使用戶永遠不可訪問。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動。

目前，高通已發表聲明確認這些漏洞的存在并發布了修復程序，建議用戶僅從受信任的位置安裝應用。但考慮到受這些漏洞影響的設備數量和安卓機更新速度，該補丁在短時間內很難輕松地到達所有設備，這意味著安全問題仍會出現。

DSP是什么？

DSP 芯片是手機中的一種輔助芯片，主要負責處理音頻、視頻和圖像數據；出現在大多數現代手機中，并隨高通的驍龍處理器一起提供。

而這家安全機構發現該芯片中存在 400 多個易受攻擊的代碼段，這意味著什么呢？

我們來看一組今年第二季度中國智能手機市場的數據。

由于今年聯發科特別給力，以38.3%的市場份額險勝高通的37.8%，而第三名則是華為旗下的海思麒麟芯片，占據了21.8%的市場份額。

換句話說，也就是中國有37.8% 的用戶設備將受到該漏洞影響，面臨被黑客入侵的風險。不論你是三星、小米、一加還是OPPO、VIVO，你都跑不掉。

芯片漏洞堪比千年蟲，危及全球企業和個人云數據

近年來，芯片漏洞事件頻發，早在2018年2月，互聯網就爆出了幾乎席卷整個IT產業的芯片漏洞事件——英特爾嚴重安全漏洞事件。

事情是這樣的，2017年，Google旗下的ProjectZero團隊發現了一些由CPU Speculative Execution引發的芯片級漏洞，“Spectre”（幽靈）（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（熔斷）（變體3：CVE-2017-5754），這三個漏洞都是先天性質的架構設計缺陷導致的，可以讓非特權用戶訪問到系統內存從而讀取敏感信息。

2017年6月1日，Project Zero安全團隊的一名成員在向英特爾和其他芯片生產商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體The Register在發表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機，導致股價下跌。

芯片安全漏洞爆出后，引起了媒體和業界的廣泛關注：不但將在CPU上市場份額占絕對優勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔憂。人們不禁要問，芯片漏洞問題早已發現，為什么到才被公布？是英特爾有意隱瞞嗎？

盡管英特爾正在竭盡全力修復這些漏洞，然而這似乎打開了一個“潘多拉的魔盒”：英特爾芯片安全漏洞問題接二連三地浮出水面。

5月14日，英特爾再次爆出一組新的嚴重芯片漏洞，官方命名為“微架構數據采樣漏洞（Microarchitectural Data Sampling，簡稱MDS）”，漏洞發現者將MDS包含的三種類型的漏洞分別命名為“僵尸裝載（ZombieLoad）”“放射性浮塵（Fallout）”和“飛行中的數據流氓（Rogue in-flight Data Load）”。

從媒體披露的情況來看，1995年以來大部分量產的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統。研究者稱，它們將會影響全球數百萬部計算機和電子產品，搭載了2011 年之后出廠的英特爾芯片的設備無一幸免。

雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細節的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、云服務器等終端設備都受上述漏洞的影響。

這是跨廠商、跨國界、跨架構、跨操作系統的重大漏洞事件，幾乎席卷了整個IT產業。

安全事件之后的防漏洞產業鏈正在形成

不論是近日發生的高通DSP芯片漏洞，還是兩年前震驚全球的英特爾芯片漏洞，都暴露出，現在互聯網信息發達的另一面是網絡信息安全隱患之深。

事實上，漏洞本身并不會造成危害，可所有的安全威脅卻都是出于漏洞的被利用。鑒于極大的經濟利益訴求，攻擊者往往會在未經授權的情況下，利用這些漏洞訪問網絡，竊取數據或操控數據，以及癱瘓網絡的功能，從而獲取經濟利益和隱私數據。

有隱患就有對策，安全漏洞已成為重大信息安全事件的主要原因之一，頻發的安全漏洞事件更是讓全球關注達到了空前的高度，自然而然催生出全球漏洞市場。

同時，位于前端的廠商、上游漏洞發現、中游漏洞披露以及下游漏洞利用等漏洞產業化鏈條逐漸形成，以此達到防御黑客攻擊的目的。

作為漏洞產業的核心樞紐，以政府漏洞庫為代表的漏洞平臺發揮著巨大的價值，是衡量漏洞危險程度的重要標準。

在我國，由國家計算機網絡應急技術處理協調中心(CNCERT)聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的國家網絡安全漏洞庫，進行統一收集驗證、預警發布及應急處置體系，切實提升在安全漏洞方面的整體研究水平和及時預防能力。

軟件產業是軟件漏洞產業的源頭，如何在前期快速識別和修補漏洞就顯得尤為重要。目前，國內外各大安全廠商、白帽黑客、以及研究/測評機構在漏洞挖掘及防御方面貢獻了不小的力量。

作為致力于信息安全和數據處理領域的企業，中科信安為廣大用戶提供高效、安全的數據處理解決方案。隨著當前產業互聯網時代的到來，護航產業數字化變革、守護廣大用戶的信息安全成為了中科信安的使命。

當前，以人工智能、云計算、區塊鏈等為代表的新技術基礎設施將進一步融入數字社會，漏洞產業或將面臨全新挑戰的同時，必然也會保持高速發展，相信未來漏洞產業鏈也將涌現更多的業務模式和服務形態，來助力產業互聯網時代安全建設。