众所周知,随着近期与『芯片』产业相关的关税战、产品受限等的实施,国内有关『芯片』替代,乃至自主可控,再度成为业内热议的话题。而在我们看来,替代也好,可控也罢,安全都是基石。而纵观目前可替代的国产『芯片』主流阵营,无非是x86、ARM和所谓完全自主指令集。那么问题来了,它们在安全性方面的表现如何?市场和用户现在和未来该如何选择?
硬件固疾与软件顽疾:ARM『芯片』安全面临双重挑战
既然安全是基石,我们就不得不提及近期因为『芯片』安全问题,被推上风口浪尖的ARM架构『芯片』。
其实所谓的『芯片』安全漏洞,无论是x86、ARM和所谓完全自主指令集都或多或少的存在,通常通过事前预防,事后打补丁等方式基本就可以避免或者修复。而我们之所以单独将ARM『芯片』作为例子单独拿出来分析,是因为其安全漏洞背后揭示的是以ARM『芯片』为核心的生态系统在硬件设计和软件更新流程上面临着双重挑战。
以硬件层面的PacMan攻击漏洞为例,其代表了目前对ARM『芯片』最深层次的安全威胁。
需要强调的是,该漏洞并非简单的软件bug,而是源于ARM处理器中指针身份验证代码(PAC)的硬件设计缺陷。麻省理工学院研究人员的发现表明,攻击者可以利用推测执行和微架构侧信道(如Prime+Probe)技术,巧妙地猜测出正确的PAC哈希值,进而绕过本应提供强大内存保护的PAC机制。一旦PAC被绕过,攻击者便能劫持程序控制流,实现任意代码执行。
这一漏洞的可怕之处在于其硬件本质的属性,这意味着它无法通过简单的软件更新或补丁来彻底修复现有设备。受影响的设备,涵盖了从『智能手机』、平板电脑到部分搭载ARM架构『芯片』的PC(如苹果M1『芯片』的Mac),其硬件层面的安全防护已存在先天不足。
对于这些设备而言,唯一的缓解措施可能仅限于系统层面的限制(如更严格的权限管理)或对未来硬件设计的改进。厂商如苹果、高通等虽未公开详细应对,但后续『芯片』设计必然需要吸取教训,重新审视并强化PAC或替代机制的设计,甚至考虑禁用部分推测执行功能,但这无疑会带来性能上的权衡。
如果说上述PacMan属于ARM『芯片』安全“硬”伤的话,那么ARM的Mali GPU驱动程序漏洞(如CVE-2024-4610的use-after-free问题)则属于软件层面的缺陷。
这类漏洞可能导致数据泄露、权限提升或系统崩溃。尽管ARM已针对这些问题发布了修复补丁(如r41p0驱动),但实际情况是,这些补丁能否及时、有效地部署到最终用户设备上,取决于设备制造商和系统提供商的更新策略和周期。
在我们看来,Mali GPU驱动程序反复出现的安全问题(如CVE-2023-4211允许非特权访问敏感内存)表明,其软件栈存在持续的安全隐患。虽然ARM在积极发布补丁,但供应链条中的更新延迟成为了主要的风险点,具体表现在部分老旧设备,或者相关厂商不再提供软件更新支持的设备,将永久暴露在这些已知的软件漏洞之下。用户只能通过及时更新驱动(如果可用)或在实在无法更新的情况下考虑更换设备来规避风险。
追根溯源:先天不足,后天受限的ARM『芯片』安全恐积重难返
所谓追根溯源。业内不禁要问,ARM架构『芯片』为何会出现我们前述如此严重的安全问题?
众所周知,ARM架构自诞生起即以高效能与低功耗为设计目标,在指令集层面缺少对安全扩展的本地支持,虽然其RISC精简原则提升了性能,但也意味着诸如内存安全与控制流完整性等特性只能依赖后续扩展(如PAC、MTE),这无疑增加了安全漏洞的可能性。至于可变长混合编码(ARM 32‑bit与Thumb 16/32‑bit并存)尽管优化了代码密度,却使形式化验证与漏洞检测更加复杂。
另一方面,ARM自身提供的多项硬件安全机制,例如指针身份验证(PAC)与内存标记扩展(MTE)先后被PacMan与TikTag等侧信道攻击攻破背后暴露出的则是其微架构层面的深层缺陷。而更早的Spectre、Meltdown等系列漏洞,也同样存在于多款ARM『芯片』之中,而这又彻底打破了对分支预测与缓存隔离的信任假设。
更令人担忧的是,对于国内ARM『芯片』(通过授权)来说,由于ARM指令集架构与IP核采用闭源授权模式,被授权方既无法自由审计底层实现,也无法对硬件缺陷进行根本性修复,这注定在安全性与自主可控方面受制于人。
此外,虽然国产ARM相关厂商具备业内公认的“魔改”能力,但碍于当下ARM对于国内厂商授权限制的不断收紧,对于自由扩展指令修改的空间会越来越小,这使得国内ARM『芯片』在可能因此面临知识产权风险的同时,导致更多ARM自带的安全问题显现,就是俗话所说的“按下葫芦浮起瓢”。
综上,我们认为,先天指令集架构不足,后天授权模式存在“黑箱”,被授权国内企业在此基础上的“魔改”(因“黑箱”影响存在一定的盲目性)等这些诸多不利于『芯片』安全因素的叠加,最终可能导致国内ARM『芯片』在安全问题上积重难返。
安全为基,生态为本:国产『芯片』替代应三思而后行
通过上述,我们觉得有必要重新定义适合国内『芯片』替代和自主可控需求的『芯片』安全。
其实在业内看来,国内替代所需的安全可控可分为两个层面:一是指『芯片』路线上的自主可控,可以独立实现可持续迭代创新,不受外部授权限制;二是指技术上的安全可信,即在设计层面植入安全技术,以保障存储和计算过程中的数据安全。
如果无法做到这两点,就会在面对重大安全风险和漏洞时无力应对。比如,国产ARM由于技术授权的依赖和限制,饱受各类硬件安全漏洞和后门的影响,既不能规避ARM架构的天然缺陷,也无法跳出ARM许可限制自主解决。
中国有句俗话:磨刀不误砍柴工。对于国产『芯片』替代和自主可控,安全为基无可厚非,但保证安全的最终目的是让市场和用户能用,甚至好用,但这又和其所处的生态密切相关。
近期ARM频曝难以修复的安全漏洞,理应让业内重新审视国产『芯片』替代和自主可控的标准和方向,尤其对于市场和用户,更应在以安全为基,生态为本的原则下,在相关『芯片』及解决方案的选择上三思而后行。
