高通有惊无险

郑亚红

相比于一年多以前的“芯片大漏洞”事件，此次英国安全机构公布的一份關于高通的漏洞事件并未在业内掀起更大波澜。4月28日，国内媒体的第一波报道则将事件方向引向了“歧途”，称高通芯片存在重大漏洞。

在消息公布之前，高通已经与披露机构达成了沟通机制，并修复了补丁，阻止漏洞发展为一个安全事件。对于整个行业而言，芯片漏洞难以完全避免，漏洞发生之后的协作、修复和披露，这些过程才更加考验这些科技大佬的本事。

01

一年多以前，“Intel芯片漏洞”在全球科技界引发了巨大风暴。回忆起来，一位芯片业内人士仍心有余悸，“闹得太凶了”。时隔一年，高通芯片又爆出安全事件，波及40余款芯片组，媒体称上亿台采用相关芯片的设备被卷入。

看上去，一场全球级别的网络安全事件一触即发。早在4月23日，英国网络安全审计机构NCC Group就披露了这则高通芯片漏洞消息。消息称，高通40余款芯片的QSEE存在漏洞，黑客可利用该漏洞恢复ECDSA密钥，获取本该放在安全世界的隐私数据。

高通芯片中的QSEE本身是一个基于ARM架构TrustZone设计的安全执行环境，供可靠软件与机密资料使用，隔离于一般世界。在QSEE中处理的数据通常包括私人加密密钥和密码，这意味着，QSEE的地位相当于是芯片里的保险柜。

颇为人注意的是，此次涉及芯片包括高通骁龙820、835、845、855，几乎涵盖近几年国内旗舰级别手机的半壁江山。小米、vivo、OPPO、中兴、一加、努比亚等手机品牌的多款高端机型均未能幸免于“难”。

据《财经天下》周刊不完全统计，有大约30款不同型号、不同品牌的国产手机内置了以上四款芯片。时下最新热门机型包括小米9、vivo iQOO、OPPO Reno 10、中兴A2020 Pro变焦版均内置高通骁龙855芯片。

但一周过后，这个漏洞看来只是高通茶杯中的小风暴，并未演化成行业的龙卷风。

“还没听说这件事”，国内媒体在4月28日集中报道这一快讯后，从事芯片行业多年的陈锋却未在业内听到对此事的讨论。在他看来，此次事件发酵的速度和影响力远远不及“英特尔事件”。以经验判断，陈锋称这应该只是一次行业内常规事件，理论上并未造成巨大损失。

业内波澜不惊的主要原因是漏洞并未造成实质损失，且这是一次业内的常规披露。据NCC Group消息，2018年3月，NCC Group的安全调查员Keegan Ryan发现了这其中存在的漏洞。他发现以ECDSA进行加密的签名算法存在被攻破的可能性，会让存放在安全世界的私钥外泄到一般世界。Ryan在外媒的采访中透露，攻击者不需要物理访问高通驱动的设备来提取密钥，只需要对手机root就可以做到，而root的难度并不大，甚至在App商城中就可以下载恶意的root软件。

而一旦这个漏洞被黑客利用，后果则难以想象。幸运的是，刺破气球的针并没有扎下去。

消息披露后，高通股价稳定，也未出现大幅波动。截至美东时间4月26日，高通以86.64美元/股收盘，增幅1.85%。

02

针对此次事件，高通方面回应《财经天下》周刊，这并非是一次突发事件，高通去年已获知此事，漏洞早在消息公布之前已经得到修复，全球并未发现任何利用该漏洞而引发的安全事件。高通内部人士称，该漏洞需要获取到内核权限才能发起进攻，而高通于2018年10月便做好补丁提供给OEM厂商。

那么为何早在2018年3月就发现的漏洞，直到一年多以后才披露给大众呢？

高通方面对此称，“这是一次双方按照行业惯例进行的披露”。并表示与行业安全机构合作及时发现软件漏洞并提供安全补丁是行业常规做法。“我们鼓励白帽子公司去发现漏洞，企业之后针对漏洞去修复补丁。”

NCC Group公布的时间表显示，2018年3月19日高通收到该安全漏洞通知，5月开始进行修复，10月高通将此事通知给它的客户，并提供了解决漏洞的补丁，这之后的6个月里，运营商或者终端商会对此进行重新认证和更新上线。因此，2018年11月，NCC Group请求更新披露时间，2019年3月双方讨论将披露时间定为4月23日。

多位业内人士向《财经天下》周刊表示，既然高通已经修复了补丁，并提供给手机厂商，那么对于终端用户而言，及时进行软件和系统更新，即可确保终端的安全性。

对于高通的客户，如中国那些手机厂商来说，他们需要做的是将高通提供的补丁上线，更新其OTA中心，提示用户更新相关软件。对此，外媒打趣称：“考虑到安卓糟糕的更新速度，感觉并不让人放心。”

一位业内人士表示，此类安全事件的合作在业内颇为常见，是一种“负责与合作式的机制”。对这个披露机制利弊和博弈展现的最为完整的，是2018年年初那场芯片大漏洞事件。

2017年6月，谷歌旗下白帽黑客Project Zero 团队，向英特尔、AMD、ARM公司通报，发现安全漏洞：熔断（Meltdown）和幽灵（Spectre）。这两个芯片级漏洞可以让黑客访问到系统内存，从而读取敏感信息，窃取核心数据。比此次高通事件更为可怖的是，它波及的范围更广：一切地球上正在使用现代芯片的设备。

英特尔、微软、谷歌、苹果、亚马逊、ARM等科技巨擘无一例外，全在这两个病毒射程之内。科技大佬们空前团结，其中谷歌与众公司达成协议，将于2018年1月9日披露漏洞信息，即使那时问题没有解决。

按原计划，各个企业将会在期限到来之前进行一次“修复升级”，这看起来很稀松平常。然而，与高通事件不同的是，在约定的披露时间到来前一周，科技媒体踢爆了这个秘密，随后谷歌的团队也提前公布了漏洞细节。而此时各位科技大佬还未来得及开始修复，这让他们措手不及。这之后一周科技圈被舆论攻势和巨头的公告声明淹没。事件发酵后，英特尔股价首当其冲一路走低。

尽管，漏洞并未造成严重后果，但一众科技企业长期以来的漏洞处理机制却以这种形式公开在大众面前。长达七个月的保密期限中，涉及企业未能完成漏洞修复，成为舆论吐槽的焦点。

当时，安全信息网站安全牛主编李少鹏在接受《财经天下》周刊采访时，就已经预见到芯片漏洞不会是孤例和特殊事件。他表示，随着时代发展，类似芯片这种底层设计会暴露出一些新问题，将来可能还有新的芯片漏洞出来。