芯片漏洞危機發酵 微軟蘋果高通無一幸免!

“整個產業都在懸崖邊兒上跳舞，隻是以為還沒掉下去。”華為海思的一名內部人員對於近期持續發酵的“芯片漏洞門”感歎。

他對第一財經記者表示，目前內部仍然在評估近期被曝光的芯片安全漏洞影響的產品，從某種程度上，同意“影響範圍可能會更廣”的說法。

1月3日，穀歌零項目組(Project Zero)團隊發表關於芯片漏洞的具體情況後，包括英特爾、AMD、ARM以及蘋果、高通、IBM等在內的多家公司均發表聲明，承認其芯片也存在漏洞，有被熔斷(Meltdown)或幽靈(Spectre)攻擊的風險。

蘋果官網稱，熔斷和幽靈攻擊方式適用所有現代處理器，並影響幾乎所有的計算設備和操作係統，包括Mac係統和iOS設備，但到目前為止，尚未有利用該漏洞攻擊消費者的實例。高通則在美國時間1月5日表示，對受近期曝光的芯片級安全漏洞影響的產品，公司正在開發更新。

Canalys分析師賈沫對記者表示，這次穀歌公布的漏洞主要有兩個，它們都是基於英特爾、AMD和ARM處理器的內核架構端的漏洞，而這次的漏洞跟以往很大不同是硬件端的。從對行業的影響來講，這是行業內CPU內核架構普遍存在的問題。

漏洞波及大公司

由於芯片“漏洞門”不斷發酵，英特爾目前在市值上已經損失了接近110億美元，股價在上周三大跌5.5%，創下了2016年10月以來最大的跌幅，而亞馬遜、蘋果、微軟和IBM等科技巨頭紛紛在這次漏洞麵前無一幸免。

“熔斷(Meltdown)所利用到的漏洞廣泛存在於英特爾和AMD的處理器中，ARM的Cortex A75也有所涉及，但因為A75是Snapdragon845所用到的內核，目前而言，meltdown對手機行業的影響可能並不明顯。但是不排除meltdown會影響ARM其他型號的內核，比如有工程師測試出對Cortex A15、A57和A72也會有影響。”賈沫對記者說。

對於幽靈(Spectre)，賈沫認為，因為涉及到更基礎的架構，所以影響的範圍更廣一些。目前信息是Cortex A8、A9、A15、A17和A57、A72、A73、A75這些會受到影響，這樣波及到的手機就會比較多了，比如蘋果的iPhone係列 (A8、A9)，甚至華為的麒麟970使用的也是A72。

對於芯片安全隱患的問題，華為芯片部門內部人士對記者表示，正在評估事件影響。

高通稱，正在積極開發部署漏洞修複的解決方案，並會繼續盡最大努力加強產品安全，在部署解決方案的同時鼓勵消費者在補丁發布後更新他們的設備。

不過，高通發言人並未具體指明哪些型號受到了影響，有業內人士猜測高通即將推出的驍龍845芯片很有可能在受影響名單中，因為它采用了ARM的Cortex A75核心，而這個核心恰恰受到了漏洞的影響。高通股價在上周五盤後交易中下跌約1%。

最為“坦誠”的是蘋果，蘋果稱Meltdown和Spectre缺陷與計算機芯片設計基本架構有關，要完全屏蔽非常困難和複雜，新版攻擊代碼可能會繞過現有補丁軟件，去竊取存儲在芯片內核內存中的機密信息。目前包括Mac係統和iOS設備的所有產品都會受到影響。

除了上述公司外，ARM在1月4日承認，其一係列Cortex架構處理器均有被攻擊風險。

“這並不是英特爾一家的問題，因為ARM以及宣稱不太有問題的AMD都有所波及。但是因為藏得比較深，目前並沒有實際證據能夠證明這兩個漏洞已經被黑客所利用。而且Spectre相較於meltdown更難以被利用(相對應的，因為比較深入，也更難以修複)。目前來看，如果電腦或者手機上並沒有病毒軟件來獲取關聯權限去拿到用戶的隱私信息(如賬號、密碼等)，黑客還是比較難利用這兩個漏洞去進行破壞。”賈沫對記者說。

懸崖邊上跳舞

從X86到Arm，再到Power架構，在芯片漏洞爆發之後，先進處理器無一幸免。

其中“受損最大”的英特爾在給第一財經記者的一份回應聲明中提到，目前英特爾已經針對過去5年中推出的大多數處理器產品發布了更新。本周末前，英特爾發布的更新預計將覆蓋過去5年內推出的90%以上的處理器產品。此外，許多操作係統供應商、公共雲服務提供商、設備製造商和其他廠商也表示，他們正在或已對其產品和服務提供更新。

針對熔斷攻擊，蘋果也表示，已發布的iOS 11.2、macOS 10.13.2，以及tvOS 11.2已有防範措施，並且將會更新Safari。為防範幽靈攻擊，蘋果也在對這兩種漏洞進行進一步研究，將在iOS、macOS，以及tvOS更新中發布新的解決方案。

但穀歌零項目組(Google Project Zero)博客顯示，AMD和Arm處理器在前兩種攻擊方式中難以幸免。這意味著，從iOS設備到索尼的PlayStation Vita，從Nvidia的Tegra係列芯片，到更多的廠商和產品都有被熔斷和幽靈這兩種方式攻擊的風險。

甚至有計算機體係結構專家認為，熔斷風險已經被暴露出來，能直接偷瀏覽器密碼，全世界都看到了演示，幽靈的風險也很大，隻不過還沒有實例釋放出來。

“整個產業都在懸崖邊上跳舞，隻是以為還沒掉下去。”華為海思的一名內部人員對記者感歎道。

集邦拓墣產業研究院分析師姚嘉洋對記者表示，目前幾乎各大供貨商都有提出針對芯片問題采取的應對措施，芯片漏洞雖然存在，但無需過度反應。但他也坦言，各大處理器廠商在現階段都有被攻擊的風險，而對於下遊，應該思考如何降低“萬一被攻擊”所造成的影響。

“市場上可能在某種程度上有些誇大的成分在，就係統設計的角度來看，肩負起安全的工作，不光隻是有處理器與操作係統從業者，像是英飛淩與NXP也都有提供相當獨到的安全芯片，來補強係統的安全效能。”姚嘉洋表示，對於芯片商來說，在下一代的處理器設計上，是否要從最基本的架構進行翻新?這將是處理器從業者必須思考的課題，畢竟架構翻新，也有可能會帶來性能無法有效提升的風險。