英格兰的一对安全研究人员最近发布了一篇论文草稿,记录了他们所描述的微芯片中“首次在现实世界中检测到后门”——这个后门可能允许恶意行为者监控或更改芯片上的信息。剑桥大学的谢尔盖·斯科罗博加托夫和伦敦Quo Vadis实验室的克里斯托弗·伍兹这两位研究人员得出结论,这种漏洞使得重新编程据称安全的内存内容以及获取有关芯片内部逻辑的信息成为可能。芯片制造商、总部位于加利福尼亚州的Microsemi公司发布声明称,该公司“尚未能够证实或否认研究人员的说法”。
报告的安全漏洞尤其令人担忧,因为涉及的芯片类型特殊。受影响的芯片ProASIC3 A3P250是一种现场可编程门阵列 (FPGA)。 FPGA被广泛应用于各种应用,包括通信和网络系统、金融市场、工业控制系统以及长长的军用系统清单。每个客户都配置FPGA来实现独特且通常是高度专有的逻辑运算集。任何可能允许未经授权访问FPGA内部配置的机制都会产生知识产权盗窃的风险。此外,芯片中的计算和数据可能被恶意篡改。
假设研究人员的说法经得起推敲,一个重要的问题立即浮现在脑海:这个漏洞最初是如何出现在硬件中的?后门有可能是应具有恶意意图的国家行为者的要求而插入的。后门也可能是由于粗心大意而存在的。设计过程中的某个人可能为了方便测试而插入了它,但没有意识到它后来会被发现并可能被利用。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
无论漏洞的来源如何,它的存在都应该成为硬件安全重要性的警钟。迄今为止,已识别出的大多数网络安全漏洞都与软件有关,软件可以被替换、更新、更改和从互联网下载。相比之下,硬件漏洞是构建到芯片实际电路中的,如果没有更换芯片本身,就很难解决。
这肯定不会是最后一次发现硬件安全漏洞,我们应该采取先发制人的措施来最大限度地降低它们可能带来的风险。