前几天,有人爆出了高通骁龙芯片有严重的安全漏洞,所有采用高通芯片的手机和设备,都可能因为这些安全漏洞,遭到黑客的控制和破坏。对于这则消息,开始大多数人表示不会太关注,毕竟这种安全漏洞经常出现,包括号称最安全的苹果手机也时不时爆点漏洞出来,但一方面不会影响太多人的使用,二来厂商基本上也会很快修复。
不过这次高通骁龙的安全漏洞似乎不是这么简单。高通一方面已经承认了自家的骁龙芯片的确存在安全漏洞,但另一方面高通也表示这次安全漏洞的修复比较麻烦,这是因为全球有太多采用高通骁龙的手机和设备,所以高通即使拿出了修复方案,也不可能推送到大多数手机上去,特别是那些手机厂商已经宣布不再支持的产品。这样使用着老手机用户并且还是高通芯片的用户,很有可能就无法保护自己的隐私和手机安全。
这次的高通骁龙芯片的安全问题是由一家安全公司发现的,这家安全公司发现了高通芯片中的一个漏洞,可以让手机完全曝光在黑客面前。具体而言,这和高通芯片手机中的DSP芯片有关,这颗数字信号处理芯片设计上巨大的漏洞,它的安全设定可以被黑客轻易绕过,这样黑客就可以窃取手机里的数据,或者在手机里安装木马或者间谍软件,甚至可以直接破坏手机。
最夸张的是这家安全公司在相关的代码中发现了400多处可利用的缺陷,真不知道当时高通在设计安全方案时是怎么通过的。同时,这家公司还公开演示了一个正常的安卓程序如何绕过高通公司的签名并在DSP上执行特权代码,以及这会导致哪些进一步的安全问题。
对于这种情况,高通当然不能熟视无睹,所以高通公司很快就修复了这些安全漏洞。但最大的问题是,安卓手机的碎片化太严重了,哪怕高通修复了这个问题也没办法将它推送到目前大多数使用骁龙芯片的设备上去。比如一个三年前的手机,采用骁龙835或者更早的芯片,手机厂商已经不再对这类手机进行支持,那么自然也就没办法更新补丁了;如果遇到一些目前可以继续用的手机,但手机品牌已经不存在的,比如金立这些,那这一类手机更是没有任何希望解决这个问题。
发现这个漏洞的安全公司也认为:尽管高通已经修复了这些漏洞,但是由于现实的情况很复杂,所以问题实际上并没有得到解决。数以亿计的手机都暴露在这种安全风险之下。如果这种漏洞被发现并被恶意行为者利用,那么在很长一段时间内,将有数千万手机用户几乎没有办法保护自己。
如果说还有什么地方可以聊以自慰的是,这家安全公司并没有公布安全漏洞的所有细节,所以理论上多数黑客并不了解如何利用这些漏洞对手机以及用户造成破坏,或许这会给高通、谷歌以及其他手机厂商留出一些缓冲的时间去解决这个问题。
而对于一般使用高通骁龙手机的用户而言,如果不想改变什么的话,那就期待黑客不要光顾到自己身上,特别是那些不怎么换手机的用户。如果用户是这两年购买了高通骁龙芯片的手机,那问题应该不大,相信厂商会很快推出相应的补丁解决问题。
当然这对于高通而言,无疑是一件脸上无光的事情。本来华为麒麟芯片断供,对于高通而言,是个抢夺市场的大好机会,但爆出安全漏洞这个事儿多少会对高通前景有一些影响,说不定厂商就会因为此而更多考虑联发科的芯片。