专栏首页腾讯安全高通DSP芯片被曝6个漏洞事件引发的安全危机猜想
原创

高通DSP芯片被曝6个漏洞事件引发的安全危机猜想

近日,国外知名安全研究机构Check Point发现,高通骁龙系列芯片的数字信号处理芯片(DSP)中存在大量漏洞,总数多达400多。研究人员表示,由于易受攻击的DSP芯片“几乎见于世界上所有的安卓手机上”,导致全球受此漏洞影响的机型超过40%,其中不乏有全球知名品牌手机。

报告中指出,攻击者利用这些漏洞不仅可以将手机变成一个完美的监听工具,而且还能够使手机持续无响应,或者锁定手机上的所有信息,使用户永远不可访问。此外,攻击者还可以利用恶意软件和其他恶意代码完全隐藏恶意活动。

目前,高通已发表声明确认这些漏洞的存在并发布了修复程序,建议用户仅从受信任的位置安装应用。但考虑到受这些漏洞影响的设备数量和安卓机更新速度,该补丁在短时间内很难轻松地到达所有设备,这意味着安全问题仍会出现。

安全盲区:系统漏洞下的“人为漏洞”

在高通DSP芯片被曝漏洞引起各方关注之时,大家甚至用“间谍工具”、“史诗级漏洞”、“致命隐患”等词阐述被曝事件的严重性,强调的是系统漏洞安全“卡脖子”的问题。在这背后,其实有一个围绕安全漏洞的挖掘、披露和利用发展成日益繁荣、高度组织性的庞大地下市场。

如很多事物一样,风光的背后都有另一面,软件系统同样如此。各种类型的软件系统为用户带来便利和提高生产率的同时,由于信息系统从设计、开发、测试、部署和应用中存在脆弱点或缺陷,使得漏洞具有普遍性和长期性,并且贯穿软件的全生命周期。

但事实上,漏洞本身并不会造成危害,可所有的安全威胁却都是出于漏洞的被利用。鉴于极大的经济利益诉求,攻击者往往会在未经授权的情况下,利用这些漏洞访问网络,窃取数据或操控数据,以及瘫痪网络的功能,从而获取经济利益和隐私数据。

安全漏洞已成为重大信息安全事件的主要原因之一,频发的安全漏洞事件更是让全球关注达到了空前的高度。2017年5月12日,不法分子利用Windows系统“永恒之蓝”漏洞制作WannaCry勒索病毒迅速在全球范围内大规模爆发,至少150个国家、30万名用户中招,直接造成损失达80亿美元。今年3月,万豪连锁酒店披露了一起安全漏洞,影响了520多万酒店客人的数据,涉及个人详细隐私信息。

最近几年,被曝漏洞数量逐渐攀升并且不断刷新记录根据Skybox Security最新发布的2020年漏洞和威胁趋势报告显示,截至目前2020年为9799份,2019年为7318份,增幅为34%。此数据也超过了2018年前六个月报告的最高记录8485份,表明2020年的新增漏洞数量很可能会突破新记录。而据腾讯安全威胁情报中心数据显示,截至2019年12月底,仍有79%的企业终端上存在至少一个高危漏洞未修复,而这带来的网络安全风险不言而喻。

联动协同推进,打造漏洞产业链实践闭环

在漏洞市场的内外双重刺激下,包括位于前端的厂商、上游漏洞发现、中游漏洞披露以及下游漏洞利用等漏洞产业化链条逐渐形成,以此达到防御黑客攻击的目的。

作为漏洞产业的核心枢纽,以政府漏洞库为代表的漏洞平台发挥着巨大的价值,是衡量漏洞危险程度的重要标准。在我国,由国家计算机网络应急技术处理协调中心(CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库,进行统一收集验证、预警发布及应急处置体系,切实提升在安全漏洞方面的整体研究水平和及时预防能力。

软件产业是软件漏洞产业的源头,如何在前期快速识别和修补漏洞就显得尤为重要。目前,国内外各大安全厂商、白帽黑客、以及研究/测评机构在漏洞挖掘及防御方面贡献了不小的力量。作为互联网安全领先品牌,腾讯安全早在2016年就已成立了七大联合实验室,专注漏洞挖掘并负责向第三方厂商报告,同时向用户提供漏洞修复解决方案。

在协助厂商修复漏洞方面,腾讯安全联合实验室目前在漏洞挖掘、检测及防御等重要环节中形成一套完善的漏洞防御体系。在遵循国际漏洞披露规则前提下,联合实验室第一时间向受影响厂商提交了漏洞相关情况说明,协助受此影响厂商进一步提升产品的安全性能,保护广大用户的网络安全。同时,腾讯安全联合实验室还连同腾讯其他业务平台,常年向Adobe、苹果、微软、谷歌等国际厂商提交漏洞研究报告,持续推动互联网安全生态的发展。

在腾讯安全联合实验室之中,被业内誉为“漏洞挖掘机”的腾讯安全玄武实验室曾先后对外公布“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”、 “BadPower”等重要研究成果,发现并协助国内外知名企业修复了上千个安全问题。在智能网联汽车安全研究上,腾讯安全科恩实验室曾荣获特斯拉CEO埃隆·马斯克写亲笔信致谢、入选“特斯拉安全研究员名人堂”、全球首个“宝马集团数字化及IT研发技术奖”等荣誉。随着当前产业互联网时代的到来,护航产业数字化变革、守护全网用户的信息安全也已成为腾讯安全联合实验室的重要使命之一。

随着互联网的快速发展,漏洞提交平台和漏洞奖励计划也应运而生。如今漏洞奖励计划已成为全球互联网公司的重要安全策略之一。在过去的一年,微软花费 1370 万美元奖励产品漏洞发现者,比上一年度同期的 440 万美元多出逾两倍。在2019年黑帽大会上,苹果升级漏洞悬赏计划从之前的每个漏洞 20 万美元提升至 100 万美元,希望借助白帽黑客力量解决自身产品安全隐患。

此外,每年全球范围内还会举办各种黑客大会和漏洞挑战赛,围绕信息安全领域的发展趋势、创新技术及风险漏洞进行深入探讨,集黑客最强大脑助推网络安全的发展。随着新基建时代的到来,新基建下的安全变得前所未有的重要。本月初,国内首个新基建安全大赛正式启动,目标就是邀请行业技术精英,共同探索新基建场景应用中潜在的安全风险,将最终赛果反哺新基建安全标准制定。

当前,以人工智能、云计算、区块链等为代表的新技术基础设施将进一步融入数字社会,漏洞产业或将面临全新挑战的同时,必然也会保持高速发展,相信未来漏洞产业链也将涌现更多的业务模式和服务形态,来助力产业互联网时代安全建设。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微软曝“永恒之黑”漏洞,或成网络攻击“暗道”

    随着网络技术不断升级,网络安全形势日益严峻。近年来,数据泄漏、网络敲诈等各类网络安全事件频发,给企业及社会发展带来严重影响。

    腾讯安全
  • Win10高危漏洞遭黑产攻击!腾讯安全紧急响应全面拦截

    近日,微软发布CVE-2020-0601漏洞公告,修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意程序签名,从而骗过操作系统或安全...

    腾讯安全
  • 关于漏洞的对抗,TK教主给出最新解决思路 | 科学咖啡馆

    这所坐落在中科院物理所的“科学咖啡馆”,夹带着学术气息,成为学术与技术的交流窗口,汇聚众多大咖在此碰撞思想上的“火花”,而TK教主于旸就是其中之一。

    腾讯安全
  • Android 0day收购价高达250万美金,首次反超iOS

    近日,漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价,发现自2015年公司成立以来,安卓0day漏洞价格首次高于iOS漏洞价格。

    FB客服
  • 四种简单的漏洞获取webshell解析

        很多新手对一些漏洞还有很多不懂,什么情况下用什么漏洞,什么情况下不能用这个漏洞,我自己的见解也不太深。正因如此,我才会想到一些菜鸟才会想到的问题,然后去...

    phith0n
  • 初识弱点扫描

    这个数据库是OffensiveSecurity 维护的,收集了大量的意已知漏洞的PoC 和 Exp,也是我们查找漏洞利用代码的主要途径之一

    意大利的猫
  • 【漏洞治理】漏洞调研报告(非完整版)

    “ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。”

    aerfa
  • 企业漏洞管理的4大误区

    根据IBM的2019年数据泄露成本报告,美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露,尝试解决这些问题则平均需要38天。

    FB客服
  • 鉴谈漏洞利用

    前言本来不想讲这个事情,但是因为很多小白对这方面可能不太了解,所以讲一讲,关于鉴定网络上流传漏洞poc或exp的方法,原因是这二天关于cve-2019-0708...

    周俊辉
  • 企业安全建设之漏洞管理与运营

    对于企业内部的安全工程师来说,对漏洞一直又爱又怕,爱在,漏洞的发现与验证实现的过程,充满满满的成就感;怕在,不断的新系统上线,老系统版本更新迭代,造就一批批的漏...

    FB客服

扫码关注云+社区

领取腾讯云代金券