近日����,國外知名安全研究機構Check Point發現�,高通驍龍系列芯片的數字信號處理芯片(DSP)中存在大量漏洞,總數多達400多����。研究人員表示,由于易受攻擊的DSP芯片“幾乎見于世界上所有的安卓手機上”���,導致全球受此漏洞影響的機型超過40%�����,其中不乏有全球知名品牌手機����。
報告中指出,攻擊者利用這些漏洞不僅可以將手機變成一個完美的監聽工具�,而且還能夠使手機持續無響應,或者鎖定手機上的所有信息����,使用戶永遠不可訪問。此外�����,攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動�。
目前,高通已發表聲明確認這些漏洞的存在并發布了修復程序����,建議用戶僅從受信任的位置安裝應用。但考慮到受這些漏洞影響的設備數量和安卓機更新速度,該補丁在短時間內很難輕松地到達所有設備���,這意味著安全問題仍會出現�。
安全盲區:系統漏洞下的“人為漏洞”
在高通DSP芯片被曝漏洞引起各方關注之時��,大家甚至用“間諜工具”���、“史詩級漏洞”�、“致命隱患”等詞闡述被曝事件的嚴重性����,強調的是系統漏洞安全“卡脖子”的問題。在這背后����,其實有一個圍繞安全漏洞的挖掘、披露和利用發展成日益繁榮�、高度組織性的龐大地下市場。
如很多事物一樣�����,風光的背后都有另一面�����,軟件系統同樣如此�。各種類型的軟件系統為用戶帶來便利和提高生產率的同時,由于信息系統從設計�����、開發�、測試、部署和應用中存在脆弱點或缺陷����,使得漏洞具有普遍性和長期性,并且貫穿軟件的全生命周期�。
但事實上,漏洞本身并不會造成危害���,可所有的安全威脅卻都是出于漏洞的被利用��。鑒于極大的經濟利益訴求��,攻擊者往往會在未經授權的情況下�,利用這些漏洞訪問網絡���,竊取數據或操控數據�,以及癱瘓網絡的功能,從而獲取經濟利益和隱私數據�����。
安全漏洞已成為重大信息安全事件的主要原因之一���,頻發的安全漏洞事件更是讓全球關注達到了空前的高度���。2017年5月12日,不法分子利用Windows系統“永恒之藍”漏洞制作WannaCry勒索病毒迅速在全球范圍內大規模爆發���,至少150個國家�����、30萬名用戶中招�����,直接造成損失達80億美元�����。今年3月�,萬豪連鎖酒店披露了一起安全漏洞����,影響了520多萬酒店客人的數據,涉及個人詳細隱私信息����。
最近幾年,被曝漏洞數量逐漸攀升并且不斷刷新記錄��。根據Skybox Security最新發布的2020年漏洞和威脅趨勢報告顯示�,截至目前2020年為9799份,2019年為7318份�,增幅為34%。此數據也超過了2018年前六個月報告的最高記錄8485份��,表明2020年的新增漏洞數量很可能會突破新記錄�。而據騰訊安全威脅情報中心數據顯示,截至2019年12月底��,仍有79%的企業終端上存在至少一個高危漏洞未修復����,而這帶來的網絡安全風險不言而喻�����。
聯動協同推進��,打造漏洞產業鏈實踐閉環
在漏洞市場的內外雙重刺激下�,包括位于前端的廠商��、上游漏洞發現���、中游漏洞披露以及下游漏洞利用等漏洞產業化鏈條逐漸形成����,以此達到防御黑客攻擊的目的����。
作為漏洞產業的核心樞紐,以政府漏洞庫為代表的漏洞平臺發揮著巨大的價值�,是衡量漏洞危險程度的重要標準。在我國�����,由國家計算機網絡應急技術處理協調中心(CNCERT)聯合國內重要信息系統單位�、基礎電信運營商����、網絡安全廠商��、軟件廠商和互聯網企業建立的國家網絡安全漏洞庫���,進行統一收集驗證、預警發布及應急處置體系����,切實提升在安全漏洞方面的整體研究水平和及時預防能力。
軟件產業是軟件漏洞產業的源頭����,如何在前期快速識別和修補漏洞就顯得尤為重要。目前���,國內外各大安全廠商���、白帽黑客、以及研究/測評機構在漏洞挖掘及防御方面貢獻了不小的力量���。作為互聯網安全領先品牌�����,騰訊安全早在2016年就已成立了七大聯合實驗室���,專注漏洞挖掘并負責向第三方廠商報告�����,同時向用戶提供漏洞修復解決方案�����。
在協助廠商修復漏洞方面���,騰訊安全聯合實驗室目前在漏洞挖掘、檢測及防御等重要環節中形成一套完善的漏洞防御體系�����。在遵循國際漏洞披露規則前提下����,聯合實驗室第一時間向受影響廠商提交了漏洞相關情況說明,協助受此影響廠商進一步提升產品的安全性能,保護廣大用戶的網絡安全����。同時,騰訊安全聯合實驗室還連同騰訊其他業務平臺�,常年向Adobe、蘋果���、微軟、谷歌等國際廠商提交漏洞研究報告�,持續推動互聯網安全生態的發展。
在騰訊安全聯合實驗室之中�����,被業內譽為“漏洞挖掘機”的騰訊安全玄武實驗室曾先后對外公布“BadBarcode”���、“BadTunnel”���、“應用克隆”、“殘跡重用”��、“BucketShock”���、 “BadPower”等重要研究成果�����,發現并協助國內外知名企業修復了上千個安全問題��。在智能網聯汽車安全研究上����,騰訊安全科恩實驗室曾榮獲特斯拉CEO埃隆·馬斯克寫親筆信致謝、入選“特斯拉安全研究員名人堂”���、全球首個“寶馬集團數字化及IT研發技術獎”等榮譽�����。隨著當前產業互聯網時代的到來���,護航產業數字化變革、守護全網用戶的信息安全也已成為騰訊安全聯合實驗室的重要使命之一���。
隨著互聯網的快速發展�,漏洞提交平臺和漏洞獎勵計劃也應運而生���。如今漏洞獎勵計劃已成為全球互聯網公司的重要安全策略之一����。在過去的一年,微軟花費 1370 萬美元獎勵產品漏洞發現者�,比上一年度同期的 440 萬美元多出逾兩倍。在2019年黑帽大會上���,蘋果升級漏洞懸賞計劃從之前的每個漏洞 20 萬美元提升至 100 萬美元���,希望借助白帽黑客力量解決自身產品安全隱患。
此外��,每年全球范圍內還會舉辦各種黑客大會和漏洞挑戰賽���,圍繞信息安全領域的發展趨勢、創新技術及風險漏洞進行深入探討��,集黑客最強大腦助推網絡安全的發展�����。隨著新基建時代的到來��,新基建下的安全變得前所未有的重要。本月初��,國內首個新基建安全大賽正式啟動�,目標就是邀請行業技術精英,共同探索新基建場景應用中潛在的安全風險�,將最終賽果反哺新基建安全標準制定。
當前�����,以人工智能�、云計算、區塊鏈等為代表的新技術基礎設施將進一步融入數字社會���,漏洞產業或將面臨全新挑戰的同時�,必然也會保持高速發展�,相信未來漏洞產業鏈也將涌現更多的業務模式和服務形態,來助力產業互聯網時代安全建設�����。
鏈接:https://www.chinaz.com/2020/0820/1173968.shtml
京公網安備 11010502041587號