在承認了現(xiàn)代智能手機芯片中的一個重大安全漏洞之后，芯片公司的CEO又給我們帶來了更為殘酷的壞消息。

類似的東西可能還有很多，而我們多年來都以為它們是安全的。對安全威脅思考足夠深入的人，很可能找出其他方式來利用這些被認為是完全安全的系統(tǒng)。

——ARM首席執(zhí)行官西蒙·希格斯

　　西蒙·希格斯

今年1月初，大部分現(xiàn)代處理器中隱藏新漏洞的消息爆發(fā)。這次的漏洞不僅危及PC，連手機也未能幸免，波及的處理器甚至可追溯至20多年前。原因是英特爾、ARM等芯片廠商使用的設(shè)計技術(shù)可令黑客從受害設(shè)備內(nèi)存中獲取用戶的隱私數(shù)據(jù)，比如口令、加密密鑰或敏感信息。

新漏洞名為幽靈和熔斷，其最具破壞性的一點在于：不特定于某一具體的芯片制造商或設(shè)備。這兩個漏洞幾乎影響到所有計算設(shè)備，從手機到PC到服務(wù)器無一幸免。計算行業(yè)正忙于更新操作系統(tǒng)、Web瀏覽器、云計算服務(wù)及其他需要保證安全的基礎(chǔ)服務(wù)，試圖減小該問題的嚴重性。

只要想想人們已經(jīng)利用這些漏洞做了什么就頭大。之前從來沒人想到過這種情況。所有的發(fā)現(xiàn)都是公之于眾之后才顯現(xiàn)出其重要性，這兩個漏洞也不例外。

60億芯片

ARM是一家英國公司，其設(shè)計是世界上大多數(shù)移動處理器的基礎(chǔ)，蘋果和三星的產(chǎn)品也使用ARM的技術(shù)。日本電信巨頭軟銀集團同樣看上了ARM在業(yè)界的重要地位，于2016年年中以320億美元的價格買下了這家公司。ARM自30年前成立以來，供售出了超過1200億枚芯片。

這1200億枚芯片中，5%（約60億）存在幽靈漏洞。上周，蘋果宣稱，其所有iOS設(shè)備（所用蘋果芯片基于ARM的處理器架構(gòu)）和Mac機（使用英特爾芯片）均受幽靈漏洞影響。

ARM的另一客戶高通，則在一份聲明中稱已注意到漏洞的存在，正與ARM和其他公司協(xié)作評估這一問題并開發(fā)修復(fù)補丁。

高通在本月初的聲明中稱：“我們正為受影響的產(chǎn)品積極部署相應(yīng)的緩解措施，盡力增強產(chǎn)品的安全性。”他們建議客戶對設(shè)備進行定期更新。

還有另一款基于ARM的處理器可能受到熔斷漏洞的影響，但該處理器還太新，尚未隨產(chǎn)品發(fā)售。ARM首席執(zhí)行官希格斯沒有透露是哪家芯片合作伙伴制造該處理器，也未說明該處理器將應(yīng)用到什么設(shè)備上。

移動標靶

去年10月的ARM大會上，希格斯說“網(wǎng)絡(luò)安全就是一團糟”，隨著人工智能和物聯(lián)網(wǎng)的興起，我們必須在網(wǎng)絡(luò)上做點什么。ARM的觀點是，設(shè)備必須從硬件上保證安全，而不僅僅是從軟件上。

至于易受熔斷和幽靈漏洞影響的設(shè)計技術(shù)，希格斯認為，公司企業(yè)不會將之從處理器中移除，因為該技術(shù)對處理速度的提升太大了，高端芯片中是不可能不用這種技術(shù)的。

希格斯說：“最終的系統(tǒng)是軟件和硬件的結(jié)合，其編寫和測試都會進一步發(fā)展，以確保使用該方法的風(fēng)險得到充分理解。”

ARM尚未決定如何修改其芯片架構(gòu)或軟件以防止類似安全風(fēng)險再次出現(xiàn)。但希格斯稱，除了對處理器做出微調(diào)，該公司還將強化員工隊伍，考慮收購并花更多時間在檢查類似潛在漏洞上。

被問及為什么ARM不是自己發(fā)現(xiàn)漏洞而是從安全研究員處得知，希格斯回應(yīng)道：“這說明安全界就是個移動靶。往往在你以為一切盡在掌控的時候，就又冒出個什么東西來。”