新年的第一周就爆出Intel處理器(CPU)底層架構存在安全漏洞,影響層面擴及個人電腦、智慧型手機、雲端服務,個人資料可能會遭到駭客攻擊,引發科技界一陣軒然大波。
蘋果因為使用Intel處理器,本周也坦承受到處理器漏洞影響,並隨即提供軟體更新,並保證裝置效能不受到影響,此外多家科技公司也紛紛出面回應這次的事件。
蘋果坦承iPhone、iPad、Mac全中標
Alphabet旗下的Google Project Zero團隊,一份研究報告揭露幾乎所有使用Intel、AMD、ARM處理器晶片的裝置,都暴露在安全漏洞下。
報告中提到被命名為「Meltdown」跟「Spectre」的兩個漏洞,「Meltdown」的設計缺陷僅存在Intel晶片,駭客可能會藉此竊取電腦記憶體內的私密資料,包括瀏覽器上的密碼、帳號登入資訊、照片、e-mail、個人訊息,甚至是商業文件;而「Spectre」的設計缺陷則影響使用Intel、AMD、ARM處理器的智慧手機、平板電腦、筆記型電腦、桌上型電腦、網路伺服器,駭客有可能會利用這些漏洞侵入應用程式內的重要資訊。
唯獨Apple Watch不受Meltdown漏洞影響
除了Apple Watch以外,其他產品都因為使用Intel、ARM架構處理器受到影響,「所有的Mac跟iOS裝置都受到影響,但目前所知沒有任何用戶傳出災情。」蘋果試圖在官方部落格中平息用戶的擔憂與恐懼。在蘋果手機、桌機、Apple TV,目前運行最新的iOS 11.2、 macOS 10.13.2、tvOS 11.2軟體,都已經全面包含針對Meltdown漏洞的修復,蘋果目前已經釋出所有的更新版本,用戶只要更新最新軟體,就能確保裝置安全。
這起事件爆發後,有些研究人員指出修復軟體可能導致裝置效能下降30%,蘋果表示,目前解決Meltdown漏洞的方法完全不會有效能降低的問題,請大家放心。
修復將造成Safari瀏覽器效能降低
至於另一項漏洞Spectre,Apple Watch和蘋果的其他產品一樣容易受到影響。由於Spectre的特性是侵入應用程式,蘋果於聲明中表示:「所有Mac系統跟iOS裝置需要載入惡意App 才會受到影響,我們強烈建議大家到App Store這類安全的來源下載軟體。」
惡意代碼最有可能經由瀏覽器入侵,針對Spectre漏洞,蘋果將在未來幾天針對Safari瀏覽器釋出補丁,幫助用戶對抗Spectre,但同時也補充,這項修復有可會導致瀏覽器運作速度減緩大約2.5%。
受影響的科技公司怎麼說?
這次Intel處理器的安全漏洞影響持續擴大,研究人員推測近10年搭載 Intel 處理器的裝置,無論是Windows系統、Linux、MacOS、Android、Chrome OS 幾乎都無可避免捲入這次的風波,幾乎可以說是這10年來所生產的電腦、筆電、手機都暴露在風險之下,對此各家科技大廠也紛紛提出自己的回應,以及目前解決的進度。
Intel
Intel透過最新聲明表示,預計在下周會針對過去五年生產的大部分處理器釋出軟體更新,預計可以修復大約90%的裝置,並希望所有用戶都能打開系統,讓軟體執行自動更新,確保所有裝置的安全。
這次事件剛爆發時,外界盛傳Intel提供的軟體更新可能導致系統性能下降30%,在第二次的公開聲明中,Intel仍持昨日發布回應聲明中的論點,強調電腦效能是跟工作負載強度有關,就算效能降低,情況也會隨時間而減緩,且一般用戶更新後並不會有很明顯的效能降低問題,認為影響並不大。
根據Google先前的研究報告,過去10年Intel的處理器都可能受到影響,二次聲明中Intel僅提到針對過去五年的處理器裝置進行修復,對於五年以前的Intel處理器並沒有多做說明。
Google針對Android、Chrome、Chrome OS用戶做出最新說明,基本上Google都會針對大部分Chrome and Chrome OS 用戶提供自動軟體更新。
智慧型手機Nexus跟Pixel 用戶,手機系統也會自動下載更新軟體,至於其他Android品牌手機就要視各家手機廠商的修復進度而定,而目前使用ARM架構的Android 設備沒有傳出類似災情。另外,許多網路安全社群也指出,Google將會針對JavaScript引擎新增對抗Spectre 的更新,預計在一月底釋出的Chrome 64版本可以取得,更新後就能保護網頁對筆電或手機的攻擊。
微軟
目前,Windows 用戶已經可以下載Windows 10更新版本,目前已可藉由Windows Update下載編號為KB4056892的檔案,主要修復Meltdown所造成的威脅,其他版本預計在下周陸續更新。
至於雲端服務Azure 用戶,會透過自動更新獲得保護,但微軟提醒,部分用戶需要重啟虛擬機器才能讓修復程式作用,且強調不會有任何效能上的影響。
亞馬遜
亞馬遜表示,旗下雲端服務AWS中的彈性雲端運算EC2已經修復大部分的漏洞,剩餘的部分會在未來幾個小時陸續修復完成,亞馬遜提醒,用戶必須自行操作系統才能讓系統擁有最新補丁。
AMD
事件剛爆發時,AMD認為由於處理器的架構不同,加上新的作業系統將推出,自家產品暴露在安全風險下的機率幾乎是零,「這起事件以看出整個產業一起緊密合作的程度。」AMD表示。
但隨後Intel公布的聲明中卻拖AMD下水,直接點名 AMD 與 ARM 處理器都有發生安全性漏洞,並在聲明中稱目前正在跟AMD、ARM 、OS 開發商合作解決問題,AMD則在聲明中強調:「最近研究團隊確認了三種安全漏洞的變種,這些漏洞對各個晶片公司有不同的威脅程度,但AMD 處理器因架構不同並未受到任何影響,風險幾乎是零。」
此外AMD也建議用戶不要隨便點擊來路不明的連結、使用高強度的密碼、下載正規的軟體等。
ARM
ARM的Cortex系列處理器未能逃過一劫,廣泛用於手機行動處理器的「Cortex A」架構,有一部分受到Meltdown影響,目前旗下產品的漏洞有三個與Meltdown有關、兩個與Spectre有關。
ARM強調,未來所有的ARM Cortex處理器,都將能透過內核補丁進行修復,來抵擋類似的攻擊。
