英格蘭的一對安全研究人員最近釋出了一篇論文草稿,記錄了他們所描述的微晶片中“首次在現實世界中檢測到後門”——這個後門可能允許惡意行為者監控或更改晶片上的資訊。劍橋大學的謝爾蓋·斯科羅博加托夫和倫敦Quo Vadis實驗室的克里斯托弗·伍茲這兩位研究人員得出結論,這種漏洞使得重新程式設計據稱安全的記憶體內容以及獲取有關晶片內部邏輯的資訊成為可能。晶片製造商、總部位於加利福尼亞州的Microsemi公司釋出宣告稱,該公司“尚未能夠證實或否認研究人員的說法”。
報告的安全漏洞尤其令人擔憂,因為涉及的晶片型別特殊。受影響的晶片ProASIC3 A3P250是一種現場可程式設計門陣列 (FPGA)。 FPGA被廣泛應用於各種應用,包括通訊和網路系統、金融市場、工業控制系統以及長長的軍用系統清單。每個客戶都配置FPGA來實現獨特且通常是高度專有的邏輯運算集。任何可能允許未經授權訪問FPGA內部配置的機制都會產生智慧財產權盜竊的風險。此外,晶片中的計算和資料可能被惡意篡改。
假設研究人員的說法經得起推敲,一個重要的問題立即浮現在腦海:這個漏洞最初是如何出現在硬體中的?後門有可能是應具有惡意意圖的國家行為者的要求而插入的。後門也可能是由於粗心大意而存在的。設計過程中的某個人可能為了方便測試而插入了它,但沒有意識到它後來會被發現並可能被利用。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
無論漏洞的來源如何,它的存在都應該成為硬體安全重要性的警鐘。迄今為止,已識別出的大多數網路安全漏洞都與軟體有關,軟體可以被替換、更新、更改和從網際網路下載。相比之下,硬體漏洞是構建到晶片實際電路中的,如果沒有更換晶片本身,就很難解決。
這肯定不會是最後一次發現硬體安全漏洞,我們應該採取先發制人的措施來最大限度地降低它們可能帶來的風險。