問:由中央處理器(CPU)設計失誤而導致的保安漏洞往往會成為黑客攻擊的目標,近期,這個問題更延伸至智能手機領域。能否介紹一下相關情況?
李建軍:由中央處理器設計失誤而導致的保安漏洞,近年都有不少,最著名當推英特爾電腦的中央處理器漏洞,黑客可利用這些漏洞展開旁路攻擊,從而竊取信息,不少裝載了相關處理器的電腦速度都要下調。
最近被發現問題的是台灣聯發科生產的處理晶片。谷歌在早前公布的安卓安全報告中提及一項程度嚴重的保安漏洞,涉及到聯發科旗下一批處理器裝置。由於聯發科是現時全球最大低階智能手機中央處理器供應商,在這次事件中可能涉及的手機品牌可能包括 Vivo、華為、三星以至中國很多使用聯發科六十四位元處理器的廉價手機。
聯發科處理器在一年多前發現有關漏洞,黑客可以利用這個漏洞無聲無息奪取系統控制權限。不過聯發科的工程師無法修補這個漏洞,直至最近在谷歌介入之下,成功在作業系統層面堵塞漏洞。現時,谷歌亦已將修補漏洞的詳情公開,並提醒用家必須更新手機作業系統,以堵塞相關漏洞。
問:那聽眾用不用更換手機,以防止相關漏洞影響到自己?
李建軍:由於聯發科這次的漏洞可以透過軟件來解決,因此,只要你及時更新安卓的作業系統,應該不會有甚麼大問題。
問:那這次事件,會不會影響到蘋果的手機?
李建軍:由於蘋果公司在iOS平台,一向使用自己設計的硬件,不向其他公司採購中央處理器,所以與英特爾處理器漏洞事件不同,這次蘋果並無受影響。而暫時,亦未見蘋果的中央處理器,有類似聯發科或英特爾處理器的漏洞。
問:由英特爾到聯發科,為何與處理器有關的保安漏洞層出不窮,這到底出了甚麼問題?
李建軍:近年的中央處理器,在設計上除了追求速度提升之餘,亦要兼顧節省能源,因此採用了很多涉及記憶體運用的指令預測技術。在進行這些預測運算時,記憶體中殘留的無加密資料包含了很多保安上關鍵的資訊,黑客從而有機可乘。這類漏洞無論在英特爾還是聯發科的處理器都出現過。雖然暫時蘋果或其他公司出產的處理器未有發現有問題,但不代表未來會無問題,只不過還未被黑客成功攻破,或應用於實際入侵之上。
由於解決這些保安漏洞,往往涉及關閉指令預測功能,因此,修補漏洞的代價,往往是處理器比起之前來得慢和耗電,但為了資訊安全,這也是無可避免的損失。相信,要改進處理指令預測的技術,或者改用其他方法去提升中央處理器的性能,令不法之徒無法取得資料,才令中央處理器真的再度安全起來。
問:那用戶有沒有方法,可以防範這類漏洞所帶來的攻擊和損失?
李建軍:因為這類漏洞,涉及中央處理器,所以除非已被發現,否則對用戶根本是防不勝防,一如聯發科已經發現相關漏洞長達一年,都因為無計可施,才向谷歌方面求助。現時要針對這些因中央處理器設計失誤造成的漏洞,除了處理器製造商,不斷去檢查和測試處理器上的漏洞,可能需要一些俗稱白客的保安專家,以黑客的方式去挑戰處理器的保安機制,並藉此找出一些因設計問題出現的漏洞,一如最初發現英特爾處理器漏洞,都是來自德國扮演白客角色的保安專家一樣。暫時為止,只有這些保安高手不斷尋找漏洞,才能第一時間發現問題,並且尋求相關公司合作加以修補。但不排除已有或再有黑客成功發現新漏洞。因此處理任何敏感資料時,都必須慎重。
0:00 / 0:00