黑莓手机作为将全键盘设计做得*成功的手机,曾是无数手机用户的首选。近年来随着安卓和iOS的快速崛起,黑莓早已放弃硬件业务,向移动安全和通信软件服务商转型,因此它现在成为医疗设备、汽车系统等领域工业设备软件的主要供应商。

%title插图%num

来源于网络

近日,黑莓公司设计的一款实时操作系统被爆存在重大的网络安全漏洞问题,可能会导致使用该软件的汽车和医疗设备面临风险,让高度机密的系统暴露在黑客面前。但是黑莓公司却隐瞒这一消息长达数月之久。据资料显示,全球范围内共有1.95亿辆汽车使用了该系统,包括大众、宝马和福特等汽车制造商,因此这次安全漏洞的曝光,将会对很多车主造成影响。

本周二,黑莓公开承认QNX 系统包含 BadAlloc 漏洞,该漏洞可以让黑客瘫痪相关设备。而同样受到 BadAlloc 漏洞影响的公司在几个月前就向用户发布了公告,比如,微软安全研究人员在 4 月份宣布,他们在多家公司的操作系统和软件中发现了该漏洞

%title插图%num

而在今年 5 月,根据 CISA(美国网络安全与基础设施安全局)公开披露的漏洞修补名单上其中没有黑莓公司的身影。

%title插图%num

%title插图%num

黑莓为何隐瞒漏洞信息?

据媒体报道,黑莓公司曾制作的一份PPT暴露了真实原因,黑莓着重强调用户不知道这种危险的存在,而将真正危险用户排除在外,除非联邦政府或设备制造商告诉他们。而迫使黑莓公司发布有关 BadAlloc 漏洞报告的直接原因是CISA及国防部的参与,CISA 还敦促客户将其设备升级到*新的 QNX 版本,并发布相关公告。

据知情人士透露,今年早些时候,黑莓公司私下告诉 CISA,他们不相信 BadAlloc 漏洞影响了他们的产品,在过去的几个月里,CISA 敦促黑莓接受这个坏消息,*终让黑莓公司承认操作系统存在安全漏洞。黑莓*初拒*承认这个被称作 BadAlloc 漏洞对其产品造成了影响,后来又拒*发表公开声明。

“他们*初的想法是私下通知客户,因为这样做不会让黑客知道漏洞正在修复中,也可以减少经济损失与公司负面影响。””一名 CISA 员工说。然而,随着时间的推移,黑莓“意识到公开消息有更多的好处”。

黑莓公司还告知 CISA,由于无法识别使用其软件的客户个人信息,因此没办法向客户发出警告。这是由于黑莓将 QNX 授权给“原始设备制造商”,后者使用QNX系统为客户定制相关产品设备,就像微软将其 Windows 操作系统出售给惠普、戴尔和其他计算机制造商一样。

CISA 网络部门负责人埃里克·戈德斯坦(Eric Goldstein)对此拒*回应黑莓公司,但表示CISA 网络安全部门会“定期与黑莓公司安全研究人员合作,及时地披露漏洞修复情况,以便用户可以采取措施保护他们的系统。”

埃里克·戈德斯坦 (Eric Goldstein)补充道 :“QNX 被广泛用于各种产品,这些系统漏洞可能会被黑客利用。虽然我们不知道有哪些漏洞被利用,但我们鼓励 QNX 用户查看黑莓近日发布的公告,尽快修补系统。”

%title插图%num

如何应对安全漏洞

黑莓并不是*家被披露发生系统安全漏洞的公司,网络安全专家表示,再高度复杂的系统中偶尔也会出现此类漏洞,但解决 QNX 问题将是黑莓和政府的一项重大任务。而且黑莓等公司向设备制造商出售他们的软件时,他们很少提供软件代码的详细记录,这让硬件制造商、政府部门对网络安全风险一无所知。

与此同时,NTIA (美国商务部国家电信和信息管理局)于7月份发布了关于 SBOM(软件物料清单)的列表指南。有了 SBOM,得知 QNX 发生漏洞的汽车制造商或医疗设备制造商,可以快速检查哪些产品受到影响。SBOM 虽然不会阻止黑客发现和利用漏洞,也无法告诉公司某个缺陷是否对其系统构成了风险,但是可以加快修补系统漏洞的速度。

黑莓公司这次隐瞒系统安全漏洞,也让普通民众议论纷纷。

“软件供应链安全是美国*大的漏洞之一,”前众议院情报委员会高级职员安迪·凯泽 (Andy Keiser) 说。“作为地球上联系*紧密的社会之一,我们仍然是*脆弱的社会之一。”

“黑莓不可能完全清楚系统漏洞的运行状况,”乔治梅森大学计算机科学教授兼 Linux 基金会开源供应链安全主管大卫惠勒说,“我们需要帮助人们了解他们系统中的各种组件,并帮助他们及时地更新系统。”