據(jù)華爾街日報報道����,計算機芯片被曝存在安全漏洞��,乍看之下似乎給英特爾帶來了一場突如其來的危機����,但在這背后它和其它的科技公司以及專家其實對付該問題已經(jīng)有數(shù)個月。
今天�����,蘋果成為了最新一家承認(rèn)受到芯片漏洞影響的科技巨頭����。該公司表示����,所有的iPhone�����、iPad和Mac電腦都受到影響�,公司已經(jīng)發(fā)布更新來修復(fù)漏洞。
英特爾����、它的主要競爭對手AMD以及芯片設(shè)計廠商ARM本周均稱����,它們的部分處理器存在可能會被黑客利用的安全漏洞�,這一問題影響電腦、智能手機和其它設(shè)備所使用的各種芯片���,但到目前為止與任何的黑客攻擊事件都無關(guān)聯(lián)����。
在芯片漏洞本周被曝光以前,芯片廠商們以及它們的客戶和合作伙伴���,包括蘋果��、Alphabet旗下的谷歌��、亞馬遜和微軟��,就已經(jīng)在加緊解決問題�����。一個由大型科技公司組成的聯(lián)盟在聯(lián)手保護(hù)它們的服務(wù)器����,并向用戶的計算機和智能手機提供補丁����。
所涉的漏洞可能會讓黑客能夠竊取諸如密碼的敏感信息,影響范圍包括來自各家公司的多數(shù)現(xiàn)代芯片�。但主導(dǎo)服務(wù)器和PC芯片市場的英特爾受到了最為直接的影響,它的股價連續(xù)兩天出現(xiàn)下跌���。
去年6月1日����,谷歌Project Zero安全團隊的一位成員告知英特爾和其它的芯片廠商漏洞的問題。即便早早就知道����,英特爾等公司也仍在努力解決安全漏洞。一個問題在于��,將安全更新推送到數(shù)十億部設(shè)備����。另一個問題在于,部分安全補丁可能會減慢設(shè)備的運行��,因為那些漏洞影響到意在提高處理器運行速度的芯片功能����。
截至周四,各家企業(yè)都表示沒有發(fā)現(xiàn)利用芯片漏洞的黑客攻擊證據(jù)�。要是黑客真那么做�����,那他們很可能會去攻擊英特爾制造的芯片。那是因為該公司是全球第一大微處理器廠商��,其芯片內(nèi)在的漏洞至少可以追溯到10年前����。
該問題引發(fā)了人們對英特爾產(chǎn)品安全性的懷疑,眾多客戶需要采取行動保護(hù)自身的系統(tǒng)�。它也凸顯了一點:芯片和運行于芯片的軟件日益復(fù)雜化,讓它們變得難以鎖定�,同時也使得它們會隱藏數(shù)年未被發(fā)現(xiàn)的漏洞。
“人們在重新評估現(xiàn)代硬件安全屬性的核心原則���。我們的很多假定都被違反了�����,需要重新進(jìn)行評估���。”安全研究者科恩·懷特(Kenn White)指出。
不過���,在科技戰(zhàn)略研究公司Tirias Research的吉姆·麥克格雷格(Jim McGregor)看來���,英特爾受到的影響可能會很有限�。“當(dāng)你掌控很大一部分市場����,你廣泛地覆蓋客戶的時候,你能夠逃脫懲罰�����。”他說道���。
英特爾說�����,預(yù)計到下周末����,它就能向過去5年推出的90%以上處理器提供軟件更新��。
其它的公司已經(jīng)發(fā)布補丁�。蘋果稱,除了它的移動設(shè)備和電腦以外��,Apple TV電視機頂盒也受到影響,Apple Watch智能手表倒沒受影響����。它還說��,為蘋果Safari網(wǎng)絡(luò)瀏覽器解決Spectre漏洞的補丁預(yù)計將在未來幾天發(fā)布�。
蘋果指出,它的補丁不會造成設(shè)備運行變慢����。谷歌周四也表示,它所開發(fā)的補丁“對設(shè)備性能的影響可以忽略���。”英特爾稱����,對于普通用戶來說��,任何性能減退都會很有限���,且會隨著時間的推移而慢慢消失�����。它還說���,公司計劃在一年內(nèi)重新設(shè)計芯片���,預(yù)計此次安全問題不會帶來任何的財務(wù)影響。
周四��,英特爾股價下跌到44.43美元��,較周二的收盤價(漏洞問題曝光以前)累計下跌5.2%�。包括AMD和英偉達(dá)在內(nèi)的其它芯片廠商股價則出現(xiàn)上揚。
問題存在已久
研究人員接觸那些漏洞已經(jīng)有一年多的時間��。2016年8月�����,在拉斯維加斯的Black Hat網(wǎng)絡(luò)安全大會上��,兩位研究者安德斯·福格(Anders Fogh)和丹尼爾·格拉斯(Daniel Gruss)演示了漏洞的早期跡象����。福格在去年7月還就此發(fā)表博文,鼓勵其他的研究者去展開調(diào)查��。
與此同時,谷歌內(nèi)部的安全研究團隊Project Zero的雅恩·霍恩(Jann Horn)早已揭開該問題���,并通知了英特爾��。最終,來自全球各地的三個其它的研究團隊就同樣的問題聯(lián)系英特爾���,英特爾接著與他們一道交流和撰寫論文���。
其中一位研究者丹尼爾·格恩金(Daniel Genkin)指出,他們發(fā)現(xiàn)芯片的漏洞可追溯到2010年��,并認(rèn)為那些問題甚至可追溯到更久以前�����。“帶來這種漏洞的通用架構(gòu)原則有幾十年歷史了��,”他說�,“我沒有去啟動一臺來自1995年的電腦探個究竟,但那些原則那時候就存在����。”
福格說道,研究人員之所以同時發(fā)現(xiàn)同樣的長期漏洞,是因為此前的研究打下了基礎(chǔ)���,其中包括他在2016年的演示�。那為什么英特爾沒有更早發(fā)現(xiàn)漏洞呢����?“好問題,我還真回答不了����。”他說。
英特爾數(shù)據(jù)中心工程副總裁史蒂芬·史密斯(Stephen Smith)指出�,公司一直以來都在設(shè)法提升它的產(chǎn)品安全性。
監(jiān)管文件顯示���,在英特爾與合作伙伴們一起努力解決問題期間��,英特爾CEO布萊恩·科茲安尼克(Brian Krzanich)在去年11月出售他的公司股票和期權(quán)套現(xiàn)2400萬美元�,保留了25萬股股票�����,從該公司最近的代理委托書來看���,那是公司對他的最低持股量要求����。
英特爾發(fā)言人表示,那次售股與此次安全問題無關(guān)���,是依照預(yù)先安排的�����、帶有自動出售時間表的計劃。
英特爾和由科技公司和研究者組成的大聯(lián)盟計劃在1月9日對外披露漏洞問題���。但本周���,科技新聞網(wǎng)站The Register在跟蹤研究該漏洞的補丁的程序員的在線討論后率先進(jìn)行了曝光。
英特爾��、AMD和ARM事先通知了部分大客戶�����,但The Register的報道讓小公司措手不及��。云計算提供商DigitalOcean的首席安全官約什·芬布魯姆(Josh Feinblum)上周末從同行那里獲悉漏洞問題。他說����,他一直在盡可能快速地修復(fù)他的系統(tǒng),對于目前的成果感到滿意��。
“Linux之父”林納斯·托瓦茲(Linus Torvalds)批評英特爾沒有承認(rèn)問題�����,最初說芯片按照預(yù)想運行��。“我認(rèn)為���,英特爾內(nèi)部的某個人需要認(rèn)真審視他們的CPU問題���,承認(rèn)它們存在問題,而不是撰寫公關(guān)文章大肆宣稱一切都如計劃發(fā)展����。”他在周三致Linux程序員的電子郵件中寫道。
懷特表示���,雖然英特爾在事件的披露方面做得亂七八糟���,但考慮到事情的性質(zhì)和影響范圍���,該公司“或許還算處理得不錯。”他說道���,研究人員稱部分補丁的開發(fā)“涉及一些新的計算機科學(xué)領(lǐng)域����。”“該項工作非常復(fù)雜�����,復(fù)雜到令人驚異����。”
該事件讓人們擔(dān)心����,基于那些新發(fā)現(xiàn)的漏洞展開的攻擊,可能已經(jīng)發(fā)生了好幾年����,卻未被發(fā)現(xiàn)�。部分技術(shù)人員認(rèn)為�,這種情況可能性不大,因為那需要有復(fù)雜的黑客技術(shù)���。例如����,谷歌方面稱它沒能找到辦法去利用Android手機中的漏洞���,但考慮到有人或許能夠利用的風(fēng)險���,它還是為那些設(shè)備提供安全補丁。
其他人表示�,如果白帽黑客——發(fā)現(xiàn)及修補安全漏洞的合法黑客——能夠發(fā)現(xiàn)漏洞,那么為非作歹的黑帽黑客也能夠發(fā)現(xiàn)��。
懷特指出���,隨著漏洞問題如今被曝光�,用戶也要保護(hù)好自己���。“這些是非常復(fù)雜的攻擊����,需要各種背景知識和理解。”他說�����,“但它一旦出現(xiàn)�����,就會轉(zhuǎn)變成代碼攻擊����。” 
