“整個(gè)產(chǎn)業(yè)都在懸崖邊兒上跳舞，只是以為還沒(méi)掉下去。”華為海思的一名內(nèi)部人員對(duì)于近期持續(xù)發(fā)酵的“芯片漏洞門”感嘆。

他對(duì)第一財(cái)經(jīng)記者表示，目前內(nèi)部仍然在評(píng)估近期被曝光的芯片安全漏洞影響的產(chǎn)品，從某種程度上，同意“影響范圍可能會(huì)更廣”的說(shuō)法。

1月3日，谷歌零項(xiàng)目組(Project Zero)團(tuán)隊(duì)發(fā)表關(guān)于芯片漏洞的具體情況后，包括英特爾、AMD、ARM以及蘋果、高通、IBM等在內(nèi)的多家公司均發(fā)表聲明，承認(rèn)其芯片也存在漏洞，有被熔斷(Meltdown)或幽靈(Spectre)攻擊的風(fēng)險(xiǎn)。

蘋果官網(wǎng)稱，熔斷和幽靈攻擊方式適用所有現(xiàn)代處理器，并影響幾乎所有的計(jì)算設(shè)備和操作系統(tǒng)，包括Mac系統(tǒng)和iOS設(shè)備，但到目前為止，尚未有利用該漏洞攻擊消費(fèi)者的實(shí)例。高通則在美國(guó)時(shí)間1月5日表示，對(duì)受近期曝光的芯片級(jí)安全漏洞影響的產(chǎn)品，公司正在開(kāi)發(fā)更新。

Canalys分析師賈沫對(duì)記者表示，這次谷歌公布的漏洞主要有兩個(gè)，它們都是基于英特爾、AMD和ARM處理器的內(nèi)核架構(gòu)端的漏洞，而這次的漏洞跟以往很大不同是硬件端的。從對(duì)行業(yè)的影響來(lái)講，這是行業(yè)內(nèi)CPU內(nèi)核架構(gòu)普遍存在的問(wèn)題。

漏洞波及大公司

由于芯片“漏洞門”不斷發(fā)酵，英特爾目前在市值上已經(jīng)損失了接近110億美元，股價(jià)在上周三大跌5.5%，創(chuàng)下了2016年10月以來(lái)最大的跌幅，而亞馬遜、蘋果、微軟和IBM等科技巨頭紛紛在這次漏洞面前無(wú)一幸免。

“熔斷(Meltdown)所利用到的漏洞廣泛存在于英特爾和AMD的處理器中，ARM的Cortex A75也有所涉及，但因?yàn)锳75是Snapdragon845所用到的內(nèi)核，目前而言，meltdown對(duì)手機(jī)行業(yè)的影響可能并不明顯。但是不排除meltdown會(huì)影響ARM其他型號(hào)的內(nèi)核，比如有工程師測(cè)試出對(duì)Cortex A15、A57和A72也會(huì)有影響。”賈沫對(duì)記者說(shuō)。

對(duì)于幽靈(Spectre)，賈沫認(rèn)為，因?yàn)樯婕暗礁�基礎(chǔ)的架構(gòu)，所以影響的范圍更廣一些。目前信息是Cortex A8、A9、A15、A17和A57、A72、A73、A75這些會(huì)受到影響，這樣波及到的手機(jī)就會(huì)比較多了，比如蘋果的iPhone系列(A8、A9)，甚至華為的麒麟970使用的也是A72。

對(duì)于芯片安全隱患的問(wèn)題，華為芯片部門內(nèi)部人士對(duì)記者表示，正在評(píng)估事件影響。

高通稱，正在積極開(kāi)發(fā)部署漏洞修復(fù)的解決方案，并會(huì)繼續(xù)盡最大努力加強(qiáng)產(chǎn)品安全，在部署解決方案的同時(shí)鼓勵(lì)消費(fèi)者在補(bǔ)丁發(fā)布后更新他們的設(shè)備。

不過(guò)，高通發(fā)言人并未具體指明哪些型號(hào)受到了影響，有業(yè)內(nèi)人士猜測(cè)高通即將推出的驍龍845芯片很有可能在受影響名單中，因?yàn)樗�采用了ARM的Cortex A75核心，而這個(gè)核心恰恰受到了漏洞的影響。高通股價(jià)在上周五盤后交易中下跌約1%。

最為“坦誠(chéng)”的是蘋果，蘋果稱Meltdown和Spectre缺陷與計(jì)算機(jī)芯片設(shè)計(jì)基本架構(gòu)有關(guān)，要完全屏蔽非常困難和復(fù)雜，新版攻擊代碼可能會(huì)繞過(guò)現(xiàn)有補(bǔ)丁軟件，去竊取存儲(chǔ)在芯片內(nèi)核內(nèi)存中的機(jī)密信息。目前包括Mac系統(tǒng)和iOS設(shè)備的所有產(chǎn)品都會(huì)受到影響。

除了上述公司外，ARM在1月4日承認(rèn)，其一系列Cortex架構(gòu)處理器均有被攻擊風(fēng)險(xiǎn)。

“這并不是英特爾一家的問(wèn)題，因?yàn)锳RM以及宣稱不太有問(wèn)題的AMD都有所波及。但是因?yàn)椴氐帽容^深，目前并沒(méi)有實(shí)際證據(jù)能夠證明這兩個(gè)漏洞已經(jīng)被黑客所利用。而且Spectre相較于meltdown更難以被利用(相對(duì)應(yīng)的，因?yàn)楸容^深入，也更難以修復(fù))。目前來(lái)看，如果電腦或者手機(jī)上并沒(méi)有病毒軟件來(lái)獲取關(guān)聯(lián)權(quán)限去拿到用戶的隱私信息(如賬號(hào)、密碼等)，黑客還是比較難利用這兩個(gè)漏洞去進(jìn)行破壞�！辟Z沫對(duì)記者說(shuō)。

懸崖邊上跳舞

從X86到Arm，再到Power架構(gòu)，在芯片漏洞爆發(fā)之后，先進(jìn)處理器無(wú)一幸免。

其中“受損最大”的英特爾在給第一財(cái)經(jīng)記者的一份回應(yīng)聲明中提到，目前英特爾已經(jīng)針對(duì)過(guò)去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新。本周末前，英特爾發(fā)布的更新預(yù)計(jì)將覆蓋過(guò)去5年內(nèi)推出的90%以上的處理器產(chǎn)品。此外，許多操作系統(tǒng)供應(yīng)商、公共云服務(wù)提供商、設(shè)備制造商和其他廠商也表示，他們正在或已對(duì)其產(chǎn)品和服務(wù)提供更新。

針對(duì)熔斷攻擊，蘋果也表示，已發(fā)布的iOS 11.2、macOS 10.13.2，以及tvOS 11.2已有防范措施，并且將會(huì)更新Safari。為防范幽靈攻擊，蘋果也在對(duì)這兩種漏洞進(jìn)行進(jìn)一步研究，將在iOS、macOS，以及tvOS更新中發(fā)布新的解決方案。

但谷歌零項(xiàng)目組(Google Project Zero)博客顯示，AMD和Arm處理器在前兩種攻擊方式中難以幸免。這意味著，從iOS設(shè)備到索尼的PlayStation Vita，從Nvidia的Tegra系列芯片，到更多的廠商和產(chǎn)品都有被熔斷和幽靈這兩種方式攻擊的風(fēng)險(xiǎn)。

甚至有計(jì)算機(jī)體系結(jié)構(gòu)專家認(rèn)為，熔斷風(fēng)險(xiǎn)已經(jīng)被暴露出來(lái)，能直接偷瀏覽器密碼，全世界都看到了演示，幽靈的風(fēng)險(xiǎn)也很大，只不過(guò)還沒(méi)有實(shí)例釋放出來(lái)。

“整個(gè)產(chǎn)業(yè)都在懸崖邊上跳舞，只是以為還沒(méi)掉下去�！比A為海思的一名內(nèi)部人員對(duì)記者感嘆道。

集邦拓墣產(chǎn)業(yè)研究院分析師姚嘉洋對(duì)記者表示，目前幾乎各大供貨商都有提出針對(duì)芯片問(wèn)題采取的應(yīng)對(duì)措施，芯片漏洞雖然存在，但無(wú)需過(guò)度反應(yīng)。但他也坦言，各大處理器廠商在現(xiàn)階段都有被攻擊的風(fēng)險(xiǎn)，而對(duì)于下游，應(yīng)該思考如何降低“萬(wàn)一被攻擊”所造成的影響。

“市場(chǎng)上可能在某種程度上有些夸大的成分在，就系統(tǒng)設(shè)計(jì)的角度來(lái)看，肩負(fù)起安全的工作，不光只是有處理器與操作系統(tǒng)從業(yè)者，像是英飛凌與NXP也都有提供相當(dāng)獨(dú)到的安全芯片，來(lái)補(bǔ)強(qiáng)系統(tǒng)的安全效能�！币�嘉洋表示，對(duì)于芯片商來(lái)說(shuō)，在下一代的處理器設(shè)計(jì)上，是否要從最基本的架構(gòu)進(jìn)行翻新?這將是處理器從業(yè)者必須思考的課題，畢竟架構(gòu)翻新，也有可能會(huì)帶來(lái)性能無(wú)法有效提升的風(fēng)險(xiǎn)。(作者：第一財(cái)經(jīng)李娜)