黑莓手機作為將全鍵盤設計做得最成功的手機,黑莓曾是無數用戶的手機首選,近年來隨著安卓和iOS的快速崛起,黑莓早已放棄硬體業務,向移動安全和通信軟體服務商轉型,因此它現在成為醫療設備、汽車系統等領域工業設備軟體的主要供應商,
近日,黑莓公司設計的一款實時作業系統被爆存在重大的網路安全漏洞問題,可能會導致使用該軟體的汽車和醫療設備面臨風險,讓高度機密的系統暴露在黑客面前,但是黑莓公司卻隱瞞這一訊息長達數月之久,據資料顯示,全球范圍內共有1.95億輛汽車使用了該系統,包括大眾、寶馬和福特等汽車制造商,以及國內小鵬汽車p7系列也使用了該系統,因此這次安全漏洞的曝光,將會對很多車主造成影響,
本周二,黑莓公開承認QNX 系統包含BadAlloc 漏洞,該漏洞可以讓黑客癱瘓相關設備,而同樣受到 BadAlloc 漏洞影響的公司在幾個月前就向用戶發布了公告,比如,微軟安全研究人員在 4 月份宣布,他們在多家公司的作業系統和軟體中發現了該漏洞,
而在今年 5 月,根據 CISA(美國網路安全與基礎設施安全域)公開披露漏洞修補名單上其中沒有黑莓公司的身影,
黑莓為何隱瞞漏洞資訊?
據媒體報道,黑莓公司曾制作的一份PPT暴露了真實原因,黑莓著重強呼叫戶不知道這種危險的存在,而將真正危險用戶排除在外,除非聯邦政府或設備制造商告訴他們,而迫使黑莓公司發布有關BadAlloc 漏洞報告的直接原因是CISA及國防部的參與,CISA 還敦促客戶將其設備升級到最新的 QNX 版本,并發布相關公告,
據知情人士透露,今年早些時候,黑莓公司私下告訴 CISA,他們不相信 BadAlloc 漏洞影響了他們的產品,在過去的幾個月里,CISA 敦促黑莓接受這個壞訊息,最終讓黑莓公司承認作業系統存在安全漏洞,黑莓最初拒絕承認這個被稱作 BadAlloc 漏洞對其產品造成了影響,后來又拒絕發表公開宣告,
“他們最初的想法是私下通知客戶,因為這樣做不會讓黑客知道漏洞正在修復中,也可以減少經濟損失與公司負面影響,””一名 CISA 員工說,然而,隨著時間的推移,黑莓“意識到公開訊息有更多的好處”,
黑莓公司還告知 CISA,由于無法識別使用其軟體的客戶個人資訊,因此沒辦法向客戶發出警告,這是由于黑莓將 QNX 授權給“原始設備制造商”,后者使用QNX系統為客戶定制相關產品設備,就像微軟將其 Windows 作業系統出售給惠普、戴爾和其他計算機制造商一樣,
CISA 網路部門負責人埃里克·戈德斯坦(Eric Goldstein)對此拒絕回應黑莓公司,但表示CISA 網路安全部門會“定期與黑莓公司安全研究人員合作,及時地披露漏洞修復情況,以便用戶可以采取措施保護他們的系統,”
CISA 網路部門負責人埃里克·戈德斯坦 (Eric Goldstein)補充道 :“QNX 被廣泛用于各種產品,這些系統漏洞可能會被黑客利用,雖然我們不知道有哪些漏洞被利用,但我們鼓勵 QNX 用戶查看黑莓近日發布的公告,盡快修補系統,”
如何應對網路安全漏洞
黑莓并不是第一家被披露發生系統安全漏洞的公司,網路安全專家表示,再高度復雜的系統中偶爾也會出現此類漏洞,但解決 QNX 問題將是黑莓和政府的一項重大任務,而且黑莓等公司向設備制造商出售他們的軟體時,他們很少提供軟體代碼的詳細記錄,這讓硬體制造商、政府部門對網路安全風險一無所知,
與此同時,(美國商務部國家電信和資訊管理局)NTIA 7月份發布了關于 SBOM(Software Bill of Materials)的串列指南,有了 SBOM,得知 QNX 發生漏洞的汽車制造商或醫療設備制造商,可以快速檢查哪些產品受到影響,SBOM 雖然不會阻止黑客發現和利用漏洞,也無法告訴公司某個缺陷是否對其系統構成了風險,但是可以加快修補系統漏洞的速度,
黑莓公司這次隱瞞系統安全漏洞,也讓美國民眾議論紛紛,
“軟體供應鏈安全是美國最大的漏洞之一,”前眾議院情報委員會高級職員安迪·凱澤 (Andy Keiser) 說,“作為地球上聯系最緊密的社會之一,我們仍然是最脆弱的社會之一,”
“黑莓不可能完全清楚系統漏洞的運行狀況,”喬治梅森大學計算機科學教授兼 Linux 基金會開源供應鏈安全主管大衛惠勒說,“我們需要幫助人們了解他們系統中的各種組件,并幫助他們及時地更新系統,”
截止目前,黑莓官方也對此事做出了回應:
BlackBerry已獲悉相關資訊,并確認該問題不會對除2012及之前版本以外的最新與近期版本QNX實時作業系統造成影響,
BlackBerry現已告知所有可能受影響的客戶,并已發布可解決該問題的軟體補丁,此外,我們正在為客戶提供7×24小時全天候服務,截至目前,尚未有客戶表示受到該問題的影響,
保證軟體的安全性能對于BlackBerry至關重要,公司一貫秉持認真負責的態度,以確保履行BlackBerry在嵌入式軟體供應鏈中的關鍵角色,
目前,BlackBerry正全力協助相關部門及其它行業組織,
對于此次黑莓公司隱瞞安全漏洞事件,你有什么想法呢?歡迎下方投票留言,
參考鏈接:https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/295176.html
標籤:其他
上一篇:二叉樹的非遞回遍歷(面試常考)
下一篇:【資料結構】單鏈表