【翻墙问答】联发科CPU漏洞引爆个资泄漏危机 三星华为及大批国产手机中伏

2020-03-06
电邮
评论
Share
打印
2018年2月28日,西班牙举办的世界移动通信大会上正展示一款使用联发科设计Helios手机处理器的智能电话。(路透社)
2018年2月28日,西班牙举办的世界移动通信大会上正展示一款使用联发科设计Helios手机处理器的智能电话。(路透社)

问:由中央处理器(CPU)设计失误而导致的保安漏洞往往会成为黑客攻击的目标,近期,这个问题更延伸至智能手机领域。能否介绍一下相关情况?

李建军:由中央处理器设计失误而导致的保安漏洞,近年都有不少,最著名当推英特尔电脑的中央处理器漏洞,黑客可利用这些漏洞展开旁路攻击,从而窃取信息,不少装载了相关处理器的电脑速度都要下调。

最近被发现问题的是台湾联发科生产的处理晶片。谷歌在早前公布的安卓安全报告中提及一项程度严重的保安漏洞,涉及到联发科旗下一批处理器装置。由于联发科是现时全球最大低阶智能手机中央处理器供应商,在这次事件中可能涉及的手机品牌可能包括 Vivo、华为、三星以至中国很多使用联发科六十四位元处理器的廉价手机。

联发科处理器在一年多前发现有关漏洞,黑客可以利用这个漏洞无声无息夺取系统控制权限。不过联发科的工程师无法修补这个漏洞,直至最近在谷歌介入之下,成功在作业系统层面堵塞漏洞。现时,谷歌亦已将修补漏洞的详情公开,并提醒用家必须更新手机作业系统,以堵塞相关漏洞。

问:那听众用不用更换手机,以防止相关漏洞影响到自己?

李建军:由于联发科这次的漏洞可以透过软件来解决,因此,只要你及时更新安卓的作业系统,应该不会有甚么大问题。

问:那这次事件,会不会影响到苹果的手机?

李建军:由于苹果公司在iOS平台,一向使用自己设计的硬件,不向其他公司采购中央处理器,所以与英特尔处理器漏洞事件不同,这次苹果并无受影响。而暂时,亦未见苹果的中央处理器,有类似联发科或英特尔处理器的漏洞。

问:由英特尔到联发科,为何与处理器有关的保安漏洞层出不穷,这到底出了甚么问题?

李建军:近年的中央处理器,在设计上除了追求速度提升之馀,亦要兼顾节省能源,因此采用了很多涉及记忆体运用的指令预测技术。在进行这些预测运算时,记忆体中残留的无加密资料包含了很多保安上关键的资讯,黑客从而有机可乘。这类漏洞无论在英特尔还是联发科的处理器都出现过。虽然暂时苹果或其他公司出产的处理器未有发现有问题,但不代表未来会无问题,只不过还未被黑客成功攻破,或应用于实际入侵之上。

由于解决这些保安漏洞,往往涉及关闭指令预测功能,因此,修补漏洞的代价,往往是处理器比起之前来得慢和耗电,但为了资讯安全,这也是无可避免的损失。相信,要改进处理指令预测的技术,或者改用其他方法去提升中央处理器的性能,令不法之徒无法取得资料,才令中央处理器真的再度安全起来。

问:那用户有没有方法,可以防范这类漏洞所带来的攻击和损失?

李建军:因为这类漏洞,涉及中央处理器,所以除非已被发现,否则对用户根本是防不胜防,一如联发科已经发现相关漏洞长达一年,都因为无计可施,才向谷歌方面求助。现时要针对这些因中央处理器设计失误造成的漏洞,除了处理器制造商,不断去检查和测试处理器上的漏洞,可能需要一些俗称白客的保安专家,以黑客的方式去挑战处理器的保安机制,并藉此找出一些因设计问题出现的漏洞,一如最初发现英特尔处理器漏洞,都是来自德国扮演白客角色的保安专家一样。暂时为止,只有这些保安高手不断寻找漏洞,才能第一时间发现问题,并且寻求相关公司合作加以修补。但不排除已有或再有黑客成功发现新漏洞。因此处理任何敏感资料时,都必须慎重。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站