他對第一財經記者表示, 目前內部仍然在評估近期被曝光的晶片安全漏洞影響的產品, 從某種程度上, 同意 '影響範圍可能會更廣' 的說法.
1月3日, 穀歌零項目組(Project Zero)團隊發表關於晶片漏洞的具體情況後, 包括英特爾, AMD, ARM以及蘋果, 高通, IBM等在內的多家公司均發表聲明, 承認其晶片也存在漏洞, 有被熔斷(Meltdown)或幽靈(Spectre)攻擊的風險.
蘋果官網稱, 熔斷和幽靈攻擊方式適用所有現代處理器, 並影響幾乎所有的計算設備和作業系統, 包括Mac系統和iOS設備, 但到目前為止, 尚未有利用該漏洞攻擊消費者的實例. 高通則在美國時間1月5日表示, 對受近期曝光的晶片級安全漏洞影響的產品, 公司正在開發更新.
Canalys分析師賈沫對記者表示, 這次穀歌公布的漏洞主要有兩個, 它們都是基於英特爾, AMD和ARM處理器的內核架構端的漏洞, 而這次的漏洞跟以往很大不同是硬體端的. 從對行業的影響來講, 這是行業內CPU內核架構普遍存在的問題.
漏洞波及大公司
由於晶片 '漏洞門' 不斷髮酵, 英特爾目前在市值上已經損失了接近110億美元, 股價在上周三大跌5.5%, 創下了2016年10月以來最大的跌幅, 而亞馬遜, 蘋果, 微軟和IBM等科技巨頭紛紛在這次漏洞面前無一倖免.
'熔斷(Meltdown)所利用到的漏洞廣泛存在於英特爾和AMD的處理器中, ARM的Cortex A75也有所涉及, 但因為A75是Snapdragon845所用到的內核, 目前而言, meltdown對手機行業的影響可能並不明顯. 但是不排除meltdown會影響ARM其他型號的內核, 比如有工程師測試出對Cortex A15, A57和A72也會有影響. ' 賈沫對記者說.
對於幽靈(Spectre), 賈沫認為, 因為涉及到更基礎的架構, 所以影響的範圍更廣一些. 目前資訊是Cortex A8, A9, A15, A17和A57, A72, A73, A75這些會受到影響, 這樣波及到的手機就會比較多了, 比如蘋果的iPhone系列 (A8, A9), 甚至華為的麒麟970使用的也是A72.
對於晶片安全隱患的問題, 華為晶片部門內部人士對記者表示, 正在評估事件影響.
高通稱, 正在積極開發部署漏洞修複的解決方案, 並會繼續盡最大努力加強產品安全, 在部署解決方案的同時鼓勵消費者在補丁發布後更新他們的設備.
不過, 高通發言人並未具體指明哪些型號受到了影響, 有業內人士猜測高通即將推出的驍龍845晶片很有可能在受影響名單中, 因為它採用了ARM的Cortex A75核心, 而這個核心恰恰受到了漏洞的影響. 高通股價在上周五盤後交易中下跌約1%.
最為 '坦誠' 的是蘋果, 蘋果稱Meltdown和Spectre缺陷與計算機晶片設計基本架構有關, 要完全屏蔽非常困難和複雜, 新版攻擊代碼可能會繞過現有補丁軟體, 去竊取存儲在晶片內核記憶體中的機密資訊. 目前包括Mac系統和iOS設備的所有產品都會受到影響.
除了上述公司外, ARM在1月4日承認, 其一系列Cortex架構處理器均有被攻擊風險.
'這並不是英特爾一家的問題, 因為ARM以及宣稱不太有問題的AMD都有所波及. 但是因為藏得比較深, 目前並沒有實際證據能夠證明這兩個漏洞已經被黑客所利用. 而且Spectre相較於meltdown更難以被利用(相對應的, 因為比較深入, 也更難以修複). 目前來看, 如果電腦或者手機上並沒有病毒軟體來獲取關聯許可權去拿到用戶的隱私資訊(如賬號, 密碼等), 黑客還是比較難利用這兩個漏洞去進行破壞. ' 賈沫對記者說.
懸崖邊上跳舞
從X86到Arm, 再到Power架構, 在晶片漏洞爆發之後, 先進處理器無一倖免.
其中 '受損最大' 的英特爾在給第一財經記者的一份回應聲明中提到, 目前英特爾已經針對過去5年中推出的大多數處理器產品發布了更新. 本周末前, 英特爾發布的更新預計將覆蓋過去5年內推出的90%以上的處理器產品. 此外, 許多作業系統供應商, 公共雲服務提供商, 設備製造商和其他廠商也表示, 他們正在或已對其產品和服務提供更新.
針對熔斷攻擊, 蘋果也表示, 已發布的iOS 11.2, macOS 10.13.2, 以及tvOS 11.2已有防範措施, 並且將會更新Safari. 為防範幽靈攻擊, 蘋果也在對這兩種漏洞進行進一步研究, 將在iOS, macOS, 以及tvOS更新中發布新的解決方案.
但穀歌零項目組(Google Project Zero)博客顯示, AMD和Arm處理器在前兩種攻擊方式中難以倖免. 這意味著, 從iOS設備到索尼的PlayStation Vita, 從Nvidia的Tegra系列晶片, 到更多的廠商和產品都有被熔斷和幽靈這兩種方式攻擊的風險.
甚至有計算機體繫結構專家認為, 熔斷風險已經被暴露出來, 能直接偷瀏覽器密碼, 全世界都看到了演示, 幽靈的風險也很大, 只不過還沒有實例釋放出來.
'整個產業都在懸崖邊上跳舞, 只是以為還沒掉下去. ' 華為海思的一名內部人員對記者感歎道.
集邦拓墣產業研究院分析師姚嘉洋對記者表示, 目前幾乎各大供貨商都有提出針對晶片問題採取的應對措施, 晶片漏洞雖然存在, 但無需過度反應. 但他也坦言, 各大處理器廠商在現階段都有被攻擊的風險, 而對於下遊, 應該思考如何降低 '萬一被攻擊' 所造成的影響.
'市場上可能在某種程度上有些誇大的成分在, 就系統設計的角度來看, 肩負起安全的工作, 不光只是有處理器與作業系統從業者, 像是英飛淩與NXP也都有提供相當獨到的安全晶片, 來補強系統的安全效能. ' 姚嘉洋表示, 對於晶片商來說, 在下一代的處理器設計上, 是否要從最基本的架構進行翻新?這將是處理器從業者必須思考的課題, 畢竟架構翻新, 也有可能會帶來性能無法有效提升的風險.