近日,有安全研究人員發現,過去5年,英特爾晶片存在一個無法修復的安全漏洞,該漏洞存在於英特爾的聚安全公司的研究人員已經發現英特爾晶片組的一個重大缺陷可以追溯到至少五年之前。據報導,該漏洞是完全無法修復的,因為它被硬編碼到掩碼ROM中,從而使英特爾無法進行更新。它還可能允許黑客繞過任何下游保護計算機安全的嘗試,包括蘋果T2安全晶片等輔助處理器。
該漏洞的根源是英特爾的融合安全管理引擎(CSME),它是英特爾晶片的一部分,負責保護在英特爾處理器電腦上運行的所有固件。英特爾此前已經修補了CSME中的漏洞,但研究人員警告說,CSME固件在系統啟動初期沒有受到保護,因此仍然容易受到攻擊。
利用該漏洞的成功攻擊需要技能,並且在大多數情況下需要物理訪問電腦,但是其他惡意軟體可能會繞過OS級保護來執行本地攻擊,而某些攻擊可能由其他惡意軟體執行。這可能導致來自加密硬碟的數據被解密,偽造的硬體ID,甚至導致提取受DRM保護的數字內容。
該公司表示,ROM中的早期漏洞使您可以控制晶片組密鑰的讀取以及所有其他加密密鑰的生成。這些鍵之一是完整性控制值Blob(ICVB)的鍵。使用此密鑰,攻擊者可以以真實性檢查無法檢測到的方式偽造任何英特爾CSME固件模塊的代碼。這在功能上等同於違反英特爾CSME固件數字簽名的私鑰,但僅限於特定平台。
總而言之,數據安全是一個嚴肅的話題,尤其是當今,我們把大量的信息都以數據形式存在了個人電腦以及雲端。來自處理器的設計缺陷會致使這些數據被盜竊和濫用,導致用戶損失個人財產。當 AI 技術商業落地後,安全漏洞和處理器效率的重要性幾乎是等價的,它們分別影響了用戶使用服務的保障以及服務體驗。作為該領域最重要的硬體廠商,英特爾更應該做好這方面工作,這是不可推卸的責任。
各位讀者,你們怎麼看?