457
2019 即将结束,与非网感谢大家的陪伴,在总结 2019 关键词的时候,我们想到了“安全”这个词,因为我们深知未来是信息爆炸的年代,而这样的大数据时代,安全将会成为最大的阻力,一旦处理不好,就会导致人类世界的又一“灭顶之灾”。
在未来的日子里,我们还会聚焦科技安全,今天我们通过筛选和小组投票,选出了 2019 年科技行业发生的十大安全事件,和大家分享,同时也希望各位踊跃补充,与非网在此谢过。
话不多说,进入盘点区域:
2019 安全事件年度盘点
事件一:Marvell 无线芯片曝安全漏洞,全球数十亿设备受波及
2019 年 1 月 20 日,据 Embedi 安全研究专家 Denis Selianin 披露的报告, Marvell Avastar 88W8897 无线芯片组固件存在安全漏洞,导致全球数十亿台使用该芯片的笔记本、智能手机、游戏设备、路由器和物联网设备存在安全隐患。
在报告中,Selianin 描述了如何在不需要用户任何交互的情况下,利用 Avastar 88W8897 无线芯片组上安装的 ThreadX 固件来执行恶意代码。ThreadX 是一种实时操作系统(RTOS),已经作为数十亿台设备的固件。除了 Marvell 的 Avastar Wi-Fi 芯片,研究者还发现 ThreadX 系统中的通用漏洞,影响设备的数量更是多达 62 亿台。
事件二:台积电再爆生产事故,上万片晶圆或被污染 16/12nm 产能受损
2019 年 1 月 28 日,台积电又被爆出一起安全事故,这次是晶圆被不合格原料污染,预估损失上万片晶圆。这是自去年 8 月,台积电三大生产基地因病毒入侵而导致停摆,损失 26 亿台币之后,台积电的又一次生产事故。
发生事故的是台积电台南科学园区 Fab14 晶圆厂的 16/12nm 工艺产线,事故的主要原因是“进口的化学原料没有达到要求”,从而直接导致了生产的晶圆被污染。有传闻称受污染的晶圆有上万片,损失可能至少要上千万美元。
事件三:高通芯片曝出泄密漏洞,数十亿部手机或将遭殃
2019 年 4 月,英国安全业者 NCC Group 公布了藏匿在逾 40 款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的 Android 装置,高通已于本月初修补了这一在去年就得知的漏洞。
该漏洞涉及高通芯片安全执行环境的椭圆曲线数码签章算法,将允许黑客推测出存放在 QSEE 中、以 ECDSA 加密的 224 位与 256 位的金钥。因此,它被高通列为重大漏洞,而且影响超过 40 款的高通芯片,可能波及多达数十亿台的 Android 手机及设备。
事件四:GPS 现漏洞,特斯拉 Model 3 或被远程操控
2019 年 6 月,以色列一家网络安全公司 Regulus Cyberr 经测试发现,利用“无线和远程方式”可攻击特斯拉 Model 3 的 GPS 系统,使车辆驾驶辅助功能、空气悬架工作异常,出现突然降速或转向偏离主干道情况。当两辆车激活 Autopilot 驾驶辅助功能后,利用关键任务远程信息处理、传感器融合和导航功能中的漏洞,可轻易通过无线和远程方式对特斯拉的 GPS 接收器进行欺骗攻击,导致该车突然开始减速,并在主干道上急转弯。
此次测试还有一个意想不到的发现,因为特斯拉的导航系统与空气悬架系统之间存在联系,受到入侵时车辆会误认为车在各种地形形式,并突然改变其空气悬架高度。尽管 Regulus Cyber 研究人员只测试了 Model S 和 Model 3 车型,但是他们得出结论表示,特斯拉 GPS 系统易受攻击的漏洞可能是公司所有车型所具备的漏洞,因为特斯拉车队都采用了同样的芯片组。
事件五:波音 737 Max 飞行控制芯片又爆问题,飞控软件由 9 美元时薪外包撰写
2019 年 7 月 26 日,美国联邦航空管理局(FAA)表示,已确认 737 MAX 的一处新隐患,必须先解决之后才能复飞。知情人士指出,美国联邦航空总署 (FAA) 进行模拟测试时发现这个芯片故障问题,恐导致机上自动飞行系统将机鼻压低时,机师要花更多时间才能拿回对飞机的控制权。但这个问题与波音的 MCAS 自动飞控系统无关,而是新出现的问题,波音能以软件方式进行修正,据波音官员表示,预计今年秋季就可以提交所有修正软件给 FAA。
去年 10 月以来,已经发生过两起波音 737-MAX 坠机事件,总共造成 346 人死亡。此外,今日有报道称美国司法部已经传唤波音并调取了关于 787 Dreamliner 的生产记录,表明本轮针对 737 MAX 的调查已经扩展至其他机型。西雅图时报本周五援引两位消息人士称,在南卡罗来纳州的 Dreamliner 生产线上出现了“偷工减料”情况以及存在投机取巧行为。
事件六:智能门锁更安全的“惊世骗局”,36 款指纹识别智能门锁全部被破解
图片来源:青松沃德产品宣传图
2019 年 8 月,央视《第一时间》栏目曝光,将市面上的 38 款智能门锁进行试验比较,结果显示,其中 36 款带有指纹模块的智能门锁全部被破解。
调查过程中发现,在智能门锁销售页面上,很多智能门锁宣称是检测活体指纹,对假指纹可以进行防护。然而,事情让人大跌眼镜,涉及标称“固特”“金点原子”“凯迪仕”“顶固”“海尔”“360 智能门锁”“卡贝”“TCL”“顾乐”“箭牌”“鹿客”等多个品牌的样品就可以被假指纹破解。
事件七:苹果系统现史诗级硬件漏洞“checkm8”, 可随意降级
2019 年 9 月,苹果被曝出一个硬件层面的漏洞,可以使从 iPhone 4S 到 iPhone 8、iPhone X 的所有苹果手机永久越狱,且漏洞无法修复。其影响范围之大,或影响到数以百万计的 iPhone 设备,被认为“史诗级越狱”。
美国科学网站“The Verge”27 日报道称,据发现漏洞的研究员 axi0mX 称,新发布的 iOS 漏洞可能导致成千上万部 iPhone 永久性越狱。该漏洞被称为“checkm8”,也就是国际象棋术语中的 “将死”。这一漏洞可以让黑客深度访问 iOS 设备,而苹果无法通过未来的软件更新来阻止或修补。
报道称,这个漏洞也是“bootrom”漏洞,它利用了 iOS 设备在启动时加载的初始代码中的一个安全漏洞。而且由于它是 ROM(只读存储器),苹果不能通过软件更新来覆盖或修补它,所以漏洞会一直存在。这是自 10 年前发布的 iPhone 4 之后,针对 iOS 设备首次公开发布的第一个 bootrom 级别的漏洞。
事件八:三星超声波指纹识别漏洞,一个 3D 打印指纹就骗过了
2019 年 10 月,Imgur 用户 darkshark 发帖称,他用指纹 3D 打印的方式,骗过了 Galaxy S10 的屏下超声波传感指纹识别器。darkshark 概述了他的做法:在葡萄酒杯上拍摄了他的指纹图片,在 Photoshop 中进行了处理,并使用 3ds Max 制作了一个指纹的 3D 模型。经过 13 分钟的打印(以及 3 次在调整中进行的尝试),他最终打印出一个可以成功解锁手机的 3D 打印版指纹。
事件九:中国研究团队:ARM 和 INTEL 处理器存硬件漏洞“骑士”,支付密码随时外泄
2019 年 9 月,清华大学计算机系教授汪东升团队发现了 ARM 和 Intel 等处理器电源管理机制存在严重安全漏洞——“骑士”。这意味着普通人的支付密码等随时存在被泄露的风险。
汪东升表示,2018 年引起轰动的“熔断”和“幽灵”漏洞出现在处理器高性能处理模块,而此次发现的“骑士”漏洞则隐藏在普遍使用的低功耗动态电源管理单元。黑客可以突破原有安全区限制,获取智能设备核心秘钥,直接运行非法程序。与其他漏洞需要借助外部链接或者其他软件,才能够对电子设备进行攻击不同,此次发现的漏洞,从本质上讲,黑客不需要借助任何外部程序或者链接,就可以直接获取用户的安全密钥。
事件十:Facebook 再曝数据泄露事故,波及全球 2.67 亿用户
2019 年 12 月 14 日,安全研究人员鲍勃·迪亚琴科(Bob Diachenko)发现 Facebook 数据库泄露,之后数据库撤下。迪亚琴科发现时数据库没有受到密码或者其它措施的保护。虽然 Facebook 及时处理,关闭访问通道,但是当时信息已经开放近 2 周。在黑客论坛上甚至可以下载到数据。
因为数据大规模泄露,Facebook 用户可能会遭到垃圾邮件、网络钓鱼的侵扰。在 Facebook 用户 ID 中包含特殊数据,通过数字可以确定用户名及其它个人信息。
写在最后
信息安全是全球一直高度关注的一个领域,直逼科技发展的木桶效应,而半导体行业的企业也深知其要害性,愿意花大力气去补齐短板。比如,2019 年 8 月,苹果安全工程主管在黑帽大会上宣布,苹果将升级漏洞悬赏计划,除了 iOS 设备外,还会覆盖 macOS、tvOS、watchOS 和 iCloud,赏金最高 100 万美元;无独有偶,2019 年 11 月,华为发出了“漏洞悬赏计划”,希望能够通过重金找到鸿蒙 OS 漏洞。
根据 IDC 预测,2019 年全球 IT 安全相关硬件、软件和服务支出将达到 1031 亿美元,相比 2018 年增长 9.4%。随着全球各行业在安全解决方案上持续投入巨资以应对各种纷繁复杂的恶意威胁,满足各类安全需求,这种快速增长趋势将在未来几年仍将持续。IDC 预测,在 2018-2022 年预测期内,全球安全解决方案支出将实现 9.2%的年复合增长率(CAGR),预计 2022 年将达到 1338 亿美元。
信息来源:IDC
不过,道高一尺魔高一丈,黑客的实力不容小觑,有人在谋取私利,也有人虽是黑客,却也是正义的守护者,致敬这些“白帽工程”,为安全城墙又多加一瓦。
