ARM頻曝難以修復(fù)安全漏洞，國(guó)產(chǎn)芯片替代需三思而后行

眾所周知，隨著近期與芯片產(chǎn)業(yè)相關(guān)的關(guān)稅戰(zhàn)、產(chǎn)品受限等的實(shí)施，國(guó)內(nèi)有關(guān)芯片替代，乃至自主可控，再度成為業(yè)內(nèi)熱議的話題。而在我們看來(lái)，替代也好，可控也罷，安全都是基石。而縱觀目前可替代的國(guó)產(chǎn)芯片主流陣營(yíng)，無(wú)非是x86、ARM和所謂完全自主指令集。那么問(wèn)題來(lái)了，它們?cè)诎踩苑矫娴谋憩F(xiàn)如何？市場(chǎng)和用戶現(xiàn)在和未來(lái)該如何選擇？

硬件固疾與軟件頑疾：ARM芯片安全面臨雙重挑戰(zhàn)

既然安全是基石，我們就不得不提及近期因?yàn)樾酒踩珕?wèn)題，被推上風(fēng)口浪尖的ARM架構(gòu)芯片。

其實(shí)所謂的芯片安全漏洞，無(wú)論是x86、ARM和所謂完全自主指令集都或多或少地存在，通常通過(guò)事前預(yù)防，事后打補(bǔ)丁等方式基本就可以避免或者修復(fù)。而我們之所以單獨(dú)將ARM芯片作為例子單獨(dú)拿出來(lái)分析，是因?yàn)槠浒踩┒幢澈蠼沂镜氖且訟RM芯片為核心的生態(tài)系統(tǒng)在硬件設(shè)計(jì)和軟件更新流程上面臨著雙重挑戰(zhàn)。

以硬件層面的PacMan攻擊漏洞為例，其代表了目前對(duì)ARM芯片最深層次的安全威脅。

需要強(qiáng)調(diào)的是，該漏洞并非簡(jiǎn)單的軟件bug，而是源于ARM處理器中指針身份驗(yàn)證代碼（PAC）的硬件設(shè)計(jì)缺陷。麻省理工學(xué)院研究人員的發(fā)現(xiàn)表明，攻擊者可以利用推測(cè)執(zhí)行和微架構(gòu)側(cè)信道（如Prime+Probe）技術(shù)，巧妙地猜測(cè)出正確的PAC哈希值，進(jìn)而繞過(guò)本應(yīng)提供強(qiáng)大內(nèi)存保護(hù)的PAC機(jī)制。一旦PAC被繞過(guò)，攻擊者便能劫持程序控制流，實(shí)現(xiàn)任意代碼執(zhí)行。

這一漏洞的可怕之處在于其硬件本質(zhì)的屬性，這意味著它無(wú)法通過(guò)簡(jiǎn)單的軟件更新或補(bǔ)丁來(lái)徹底修復(fù)現(xiàn)有設(shè)備。受影響的設(shè)備，涵蓋了從智能手機(jī)、平板電腦到部分搭載ARM架構(gòu)芯片的PC（如蘋(píng)果M1芯片的Mac），其硬件層面的安全防護(hù)已存在先天不足。

對(duì)于這些設(shè)備而言，唯一的緩解措施可能僅限于系統(tǒng)層面的限制（如更嚴(yán)格的權(quán)限管理）或?qū)ξ磥?lái)硬件設(shè)計(jì)的改進(jìn)。廠商如蘋(píng)果、高通等雖未公開(kāi)詳細(xì)應(yīng)對(duì)，但后續(xù)芯片設(shè)計(jì)必然需要吸取教訓(xùn)，重新審視并強(qiáng)化PAC或替代機(jī)制的設(shè)計(jì)，甚至考慮禁用部分推測(cè)執(zhí)行功能，但這無(wú)疑會(huì)帶來(lái)性能上的權(quán)衡。

如果說(shuō)上述PacMan屬于ARM芯片安全“硬”傷的話，那么ARM的Mali GPU驅(qū)動(dòng)程序漏洞（如CVE-2024-4610的use-after-free問(wèn)題）則屬于軟件層面的缺陷。

這類漏洞可能導(dǎo)致數(shù)據(jù)泄露、權(quán)限提升或系統(tǒng)崩潰。盡管ARM已針對(duì)這些問(wèn)題發(fā)布了修復(fù)補(bǔ)丁（如r41p0驅(qū)動(dòng)），但實(shí)際情況是，這些補(bǔ)丁能否及時(shí)、有效地部署到最終用戶設(shè)備上，取決于設(shè)備制造商和系統(tǒng)提供商的更新策略和周期。

在我們看來(lái)，Mali GPU驅(qū)動(dòng)程序反復(fù)出現(xiàn)的安全問(wèn)題（如CVE-2023-4211允許非特權(quán)訪問(wèn)敏感內(nèi)存）表明，其軟件棧存在持續(xù)的安全隱患。雖然ARM在積極發(fā)布補(bǔ)丁，但供應(yīng)鏈條中的更新延遲成為了主要的風(fēng)險(xiǎn)點(diǎn)，具體表現(xiàn)在部分老舊設(shè)備，或者相關(guān)廠商不再提供軟件更新支持的設(shè)備，將永久暴露在這些已知的軟件漏洞之下。用戶只能通過(guò)及時(shí)更新驅(qū)動(dòng)（如果可用）或在實(shí)在無(wú)法更新的情況下考慮更換設(shè)備來(lái)規(guī)避風(fēng)險(xiǎn)。

追根溯源：先天不足，后天受限的ARM芯片安全恐積重難返

所謂追根溯源。業(yè)內(nèi)不禁要問(wèn)，ARM架構(gòu)芯片為何會(huì)出現(xiàn)我們前述如此嚴(yán)重的安全問(wèn)題？

眾所周知，ARM架構(gòu)自誕生起即以高效能與低功耗為設(shè)計(jì)目標(biāo)，在指令集層面缺少對(duì)安全擴(kuò)展的本地支持，雖然其RISC精簡(jiǎn)原則提升了性能，但也意味著諸如內(nèi)存安全與控制流完整性等特性只能依賴后續(xù)擴(kuò)展（如PAC、MTE），這無(wú)疑增加了安全漏洞的可能性。至于可變長(zhǎng)混合編碼（ARM32?bit與Thumb16/32?bit并存）盡管優(yōu)化了代碼密度，卻使形式化驗(yàn)證與漏洞檢測(cè)更加復(fù)雜。

另一方面，ARM自身提供的多項(xiàng)硬件安全機(jī)制，例如指針身份驗(yàn)證（PAC）與內(nèi)存標(biāo)記擴(kuò)展（MTE）先后被PacMan與TikTag等側(cè)信道攻擊攻破背后暴露出的則是其微架構(gòu)層面的深層缺陷。而更早的Spectre、Meltdown等系列漏洞，也同樣存在于多款A(yù)RM芯片之中，而這又徹底打破了對(duì)分支預(yù)測(cè)與緩存隔離的信任假設(shè)。

更令人擔(dān)憂的是，對(duì)于國(guó)內(nèi)ARM芯片（通過(guò)授權(quán)）來(lái)說(shuō)，由于ARM指令集架構(gòu)與IP核采用閉源授權(quán)模式，被授權(quán)方既無(wú)法自由審計(jì)底層實(shí)現(xiàn)，也無(wú)法對(duì)硬件缺陷進(jìn)行根本性修復(fù)，這注定在安全性與自主可控方面受制于人。

此外，雖然國(guó)產(chǎn)ARM相關(guān)廠商具備業(yè)內(nèi)公認(rèn)的“魔改”能力，但礙于當(dāng)下ARM對(duì)于國(guó)內(nèi)廠商授權(quán)限制的不斷收緊，對(duì)于自由擴(kuò)展指令修改的空間會(huì)越來(lái)越小，這使得國(guó)內(nèi)ARM芯片在可能因此面臨知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)的同時(shí)，導(dǎo)致更多ARM自帶的安全問(wèn)題顯現(xiàn)，就是俗話所說(shuō)的“按下葫蘆浮起瓢”。

綜上，我們認(rèn)為，先天指令集架構(gòu)不足，后天授權(quán)模式存在“黑箱”，被授權(quán)國(guó)內(nèi)企業(yè)在此基礎(chǔ)上的“魔改”（因“黑箱”影響存在一定的盲目性）等這些諸多不利于芯片安全因素的疊加，最終可能導(dǎo)致國(guó)內(nèi)ARM芯片在安全問(wèn)題上積重難返。

安全為基，生態(tài)為本：國(guó)產(chǎn)芯片替代應(yīng)三思而后行

通過(guò)上述，我們覺(jué)得有必要重新定義適合國(guó)內(nèi)芯片替代和自主可控需求的芯片安全。

其實(shí)在業(yè)內(nèi)看來(lái)，國(guó)內(nèi)替代所需的安全可控可分為兩個(gè)層面：一是指芯片路線上的自主可控，可以獨(dú)立實(shí)現(xiàn)可持續(xù)迭代創(chuàng)新，不受外部授權(quán)限制；二是指技術(shù)上的安全可信，即在設(shè)計(jì)層面植入安全技術(shù)，以保障存儲(chǔ)和計(jì)算過(guò)程中的數(shù)據(jù)安全。

如果無(wú)法做到這兩點(diǎn)，就會(huì)在面對(duì)重大安全風(fēng)險(xiǎn)和漏洞時(shí)無(wú)力應(yīng)對(duì)。比如，國(guó)產(chǎn)ARM由于技術(shù)授權(quán)的依賴和限制，飽受各類硬件安全漏洞和后門(mén)的影響，既不能規(guī)避ARM架構(gòu)的天然缺陷，也無(wú)法跳出ARM許可限制自主解決。

中國(guó)有句俗話：磨刀不誤砍柴工。對(duì)于國(guó)產(chǎn)芯片替代和自主可控，安全為基無(wú)可厚非，但保證安全的最終目的是讓市場(chǎng)和用戶能用，甚至好用，但這又和其所處的生態(tài)密切相關(guān)。

近期ARM頻曝難以修復(fù)的安全漏洞，理應(yīng)讓業(yè)內(nèi)重新審視國(guó)產(chǎn)芯片替代和自主可控的標(biāo)準(zhǔn)和方向，尤其對(duì)于市場(chǎng)和用戶，更應(yīng)在以安全為基，生態(tài)為本的原則下，在相關(guān)芯片及解決方案的選擇上三思而后行。