“惡意芯片門(mén)”主角強硬否認美英安全部門(mén)站隊企業(yè)

　　10月4日，《彭博商業(yè)周刊》報道稱(chēng)，蘋(píng)果、亞馬遜等美國科技公司來(lái)自供應商超微(SuperMicro)的服務(wù)器內被植入了“惡意芯片”。三家公司均在第一時(shí)間發(fā)表聲明否認。值得注意的是，聲明均措辭強烈，且對大量細節進(jìn)行了詳盡說(shuō)明，蘋(píng)果公司更從技術(shù)層面逐一反駁報道疑點(diǎn)。此外，美國國土安全部、英國國家網(wǎng)絡(luò )安全中心均發(fā)布聲明，對上述各公司表示支持。

　　涉及企業(yè)強勢反駁

　　《商業(yè)周刊》報道稱(chēng)，植入芯片涉及的美國公司總數可能超過(guò)30家，蘋(píng)果、亞馬遜和超微是其中“主角”。三家公司均于4日發(fā)布聲明進(jìn)行反駁,不同于常見(jiàn)的公關(guān)聲明，蘋(píng)果和亞馬遜羅列了大量細節，且措辭強硬。

　　科技媒體TheVerge指出，蘋(píng)果、亞馬遜等公司此次的否認聲明實(shí)屬少見(jiàn)?！敖^大部分和安全漏洞發(fā)現或公眾強烈反對相關(guān)的聲明，僅僅是承認這一擔憂(yōu)，并對消費者的隱私做出模糊的承諾?！钡O(píng)果和亞馬遜的聲明詳盡到幾乎是在對報道逐條反駁。

　　知名科技博主JohnGruber評論稱(chēng)，亞馬遜聲明署名是其首席信息安全官StephenSchmidt，“在亞馬遜，大概沒(méi)有人比Schmidt更了解其中的詳情?！?0月7日，蘋(píng)果信息安全副總裁GeorgeStathakopoulos致信美國參議院和眾議院商業(yè)委員會(huì )，稱(chēng)公司反復調查之后，并未發(fā)現任何證據可以表明彭博報道中的觀(guān)點(diǎn)，包括超微出售給蘋(píng)果的服務(wù)器主板芯片存在可向中國傳輸數據的后門(mén)。蘋(píng)果在回應熱點(diǎn)“負面”新聞時(shí)“反射弧”通常較長(cháng)，但此次第一時(shí)間刊登了聲明全文，指出過(guò)去一年中彭博記者曾數次就“所謂安全事件”聯(lián)系公司，而蘋(píng)果每次均進(jìn)行了嚴格的內部調查，從未在任何服務(wù)器中發(fā)現可疑惡意芯片漏洞，也從未就此事主動(dòng)聯(lián)系FBI或是其他機構，對于政府安全機構是否在展開(kāi)調查也并不知情。

　　亞馬遜也表示，公司在過(guò)去數月已多次回應稱(chēng)此事并不屬實(shí)，亞馬遜過(guò)去與現在均未在所用的超微主板上發(fā)現被修改過(guò)的硬件或惡意芯片，也從未與政府部門(mén)進(jìn)行任何相關(guān)的合作調查。

　　蘋(píng)果和亞馬遜等公司的否認得到了美國、英國政府機構的支持。英國國家網(wǎng)絡(luò )安全中心(NCSC)表示：“我們注意到了媒體的報道，在當前階段我們沒(méi)有理由去懷疑AWS(亞馬遜云服務(wù))和蘋(píng)果詳盡的評估結果?！彪S后美國國土安全部也在官網(wǎng)發(fā)布聲明稱(chēng)，目前沒(méi)有理由懷疑這幾家公司的聲明。

　　技術(shù)層面疑點(diǎn)重重

　　“惡意芯片門(mén)”報道也在經(jīng)受技術(shù)層面的質(zhì)疑。有分析指出，該報道雖對該芯片如何被裝配并發(fā)揮作用進(jìn)行了描述，但具體技術(shù)描述過(guò)于含糊，且缺乏嚴謹論證。

　　Gruber在6日評論稱(chēng)，若受影響的服務(wù)器真如報道所述，有數千臺之多，安全專(zhuān)家應能識別出其中的流氓芯片，“蘋(píng)果公司不會(huì )讓它不了了之?！?/p>

　　報道曾指出，該芯片內置存儲和網(wǎng)絡(luò )功能，可在主機系統留下硬件后門(mén)，允許外部對服務(wù)器信息進(jìn)行竊取。不過(guò)文章并未特別交代實(shí)現這一途徑的技術(shù)細節。有安全技術(shù)專(zhuān)家指出，由于缺乏有關(guān)硬件設備和在網(wǎng)絡(luò )中竊取數據的工作原理等，報道可信度大打折扣。

　　資深I(lǐng)T記者KierenMcCarthy近日在科技媒體TheRegister發(fā)文稱(chēng)，多數人不得不靠猜測來(lái)判斷所謂“黑客”如何工作，他指出報道一些技術(shù)疑點(diǎn)。例如，來(lái)自被滲透服務(wù)器的非正常網(wǎng)絡(luò )流量應當是可以被偵測到的。

　　依據報道，“惡意芯片”僅有鉛筆尖大小?！坝盟鼇?lái)攔截重寫(xiě)從SPI閃存或串行EEPROM傳來(lái)的數據并非不可能，但它必須存儲有足夠的數據，來(lái)替換BMC固件代碼，然后更改運行中的操作系統或執行可行的后門(mén)?！贝送釳cCarthy還提出，比起直接替換掉集成電路板上某個(gè)已有芯片，在主板上安裝這樣一個(gè)“惡意芯片”有些大費周章?！盀槭裁床粚PI閃存芯片替換成一個(gè)開(kāi)好后門(mén)的、和原裝看起來(lái)完全相同的芯片?”