根據(jù)ARM的公開表示，其主攻物聯(lián)網(wǎng)的Cortex M系列處理器IP不受影響，但主攻智能手機和服務(wù)器的Cortex A系列處理器則全軍覆沒——Cortex A8、A9、A15、A17、A57、A72、A73、A75全部受到影響。

也就是說包括像華為海思、聯(lián)發(fā)科、小米等購買ARM公版IP做集成的手機芯片廠商以及服務(wù)器芯片廠商在內(nèi)全部受到漏洞影響。同理，高通手機芯片中采用ARM公版IP的手機芯片一樣存在漏洞。簡言之，就是采用ARM公版IP的所有安卓陣營智能手機，比如華為Mate 10（麒麟970）、OPPO A83（MT6763T）、小米5C（澎湃S1）、紅米5plus（驍龍625）等，以及國內(nèi)少數(shù)幾家基于ARM公版IP做服務(wù)器的廠商的產(chǎn)品全部存在嚴重安全風險。

除了ARM公版處理器IP受到影響之外，一些基于公版處理器IP深度定制的處理器同樣受到影響。

ARM就公開表示：由于蘋果的A4處理器是基于 Cortex A8處理器的深度定制版本，包含了ARM的很多原始代碼，因而也受到本次漏洞的影響。同理，高度借鑒 Cortex A9處理器的蘋果A5系列處理器，以及高度借鑒Cortex A15的蘋果A6系列處理器同樣受漏洞影響。而搭載這些處理器的 iPhone、iPad、iPod 和 Apple TV 等產(chǎn)品同樣受到影響。

上海市網(wǎng)信辦在進行測試后，向廣大互聯(lián)網(wǎng)用戶公告：從目前了解的情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。包括以英特爾為主，ARM、AMD等大部分主流處理器芯片；Windows、Linux、macOS、Android等主流操作系統(tǒng)都受上述漏洞的影響，尤其以英特爾的芯片受上述漏洞影響最為嚴重。相應(yīng)的，采用這些芯片和操作系統(tǒng)的公有云服務(wù)提供商，私有云、電子政務(wù)云等基礎(chǔ)設(shè)施，廣大終端用戶，都有可能遭遇利用上述漏洞機理發(fā)起的組合攻擊。特別需要強調(diào)的是，上述漏洞對云計算基礎(chǔ)設(shè)施的影響是尤為嚴重的。

可以說，全球的智能手機、個人電腦和服務(wù)器都受到這個漏洞的影響，因而網(wǎng)絡(luò)上有人將本次漏洞評價為“史詩級”漏洞。

“史詩級”漏洞給國人帶來哪些啟示

第一點啟示：買來的CPU一定不安全。

自十二五以來，Intel、AMD、IBM、ARM、高通等國外IC設(shè)計巨頭紛紛到中國開設(shè)合資公司，或扶持代理人。其中，Intel和IBM選擇技術(shù)合作，AMD和高通選擇了合資，而ARM則既搞合資，又向國內(nèi)IC設(shè)計公司出售IP授權(quán)。

相對于直接了當?shù)暮腺Y或技術(shù)合作方式，大家一眼能看出來這款芯片的技術(shù)來源。比如宏芯的Power8技術(shù)源自IBM，瀾起的X86內(nèi)核源自Intel，華芯通和瓴盛的芯片是高通芯片的馬甲。

但購買ARM IP做集成設(shè)計SoC的方式非常具有欺騙性，很容易被包裝成“自主知識產(chǎn)權(quán)”，如果再打上“深度定制”的名號，就可以把國外技術(shù)包裝成“國產(chǎn)驕傲”。國內(nèi)一些領(lǐng)導(dǎo)、專家和地方政府也經(jīng)常為這些國外處理器包裝成自主可控CPU的行為開綠燈。

本次事件則暴露出來，就安全性而言，買IP做集成設(shè)計SoC的做法本質(zhì)上和直接買國外CPU沒有任何區(qū)別。即便是像蘋果那樣基于ARM內(nèi)核做了修改，由于保留了大量ARM的原始代碼，同樣存在安全風險。

另外，正如網(wǎng)友調(diào)侃：沒暴露的是后門，暴露了就被稱為漏洞，天知道Intel、AMD、ARM的CPU還有多少刻意或無意留下的漏洞。

第二點啟示：關(guān)鍵是掌握CPU自主研發(fā)能力。

在漏洞被曝光之后，Intel就聯(lián)合合作伙伴著手打補丁解決問題。如果我們刨除漏洞是西方情報部門的御用漏洞這種陰謀論，那么漏洞的產(chǎn)生則有可能是工程師的無心之失。畢竟CPU都是由人設(shè)計，幾千萬行代碼中出幾個BUG在所難免。業(yè)內(nèi)專家也表示：CPU指令微結(jié)構(gòu)會設(shè)計的很精細，有漏洞也是有可能的。

因而問題的關(guān)鍵就在于，發(fā)現(xiàn)了漏洞以后，有沒有解決問題的能力。

如果CPU廠商本身不具備設(shè)計能力，而是只能買IP做集成，那么就只能等待原廠升級設(shè)計來解決。像華為海思、聯(lián)發(fā)科、小米松果等手機芯片廠商，在這次事件中就非常被動，相對于Intel、AMD、ARM可以積極主動采取補救措施，國內(nèi)基于ARM IP授權(quán)的公司就只能等待ARM的技術(shù)升級，在技術(shù)上受制于人。

掃碼關(guān)注微信公眾號“科工力量”，中國工業(yè)科技新聞的權(quán)威觀察家