这个国庆假期,中国半导体公司过得无比堵心。10月4日,《彭博商业周刊》发布封面报道《大黑客:中国如何利用微型芯片渗透美国公司》。报道宣称,包括苹果、亚马逊等公司以及政府安全部门都曾受到了来自中国芯片的“侵入”。这篇文章随即引起了科技业界的轩然大波,导致多家科技企业股价大跌,其中联想更是一度单日暴跌20%以上,并引发大规模关于信息安全以及中国代工必要性和安全性的讨论。
网图
在这篇重磅报道中,彭博引用多位“知情人士”的说法称,美国服务器供应商Supermicro中国分包商制造的超微公司数据中心服务器主板上,被植入了(外观)看似信号调理耦合器的微型芯片,使得中国政府能够获取服务器上高度敏感的数据。彭博社甚至在报道中特意强调:超微公司雇佣了大量来自中国大陆和台湾的工程师。这些工程师们彼此用普通话沟通、开会,而这些会议常常比用英文召开的会议更加高效,因此,“这种沟通状态,很有可能为中国方面窃取情报提供了方便。”
网图
然而,这篇文章随机被当事企业亚马逊以及苹果踢提出强烈异议和否认,之后美国公务部门对相关事件的否认,使得真相逐渐浮出水面。
苹果内部的高级安全人员在当日随即正式向国会表示,他们根本没有发现任何证据,证明该公司受到彭博文章中复杂攻击手段的攻击。与此同时,文中涉及的另外一大巨头亚马逊,也在当天做出了驳斥,显示了此事的严重程度。亚马逊首席信息安全官在AWS官方博客上表示,他们从来没有在任何组建或亚马逊使用的Supermicro主板上发现修改硬件或和恶意芯片相关的问题。亚马逊认为,彭博文章关于亚马逊的事实错误“难以计数”,在收购前,该公司安全团队已经尽职尽责地做了大量调查,还委托了一家外部安全公司做安全评估,评估报告也没有指出任何恶意芯片或其他硬件问题。“显然,彭博从未阅读过这份安全报告,也从未看过其他任何报告。”
网图
美国国土安全部(DHS)官网表示,没有理由怀疑苹果、亚马逊和超微否认本周早些时候彭博发布报道中的指控。英国国家网络安全中5日也曾表示,没有理由怀疑苹果和亚马逊公司对该报道提出的质疑。不少国外媒体认为,这则回应实际上否认了彭博关于“间谍芯片”的报道。
实际上,从现实角度看,这则报道也有很大的漏洞之处。报道指出的“恶意芯片”仅有铅笔尖大小。“用它来拦截重写从SPI闪存或串行EEPROM传来的数据并非不可能,但它必须存储有足够的数据,来替换BMC固件代码,然后更改运行中的操作系统或执行可行的后门。”科技媒体McCarthy提出,比起直接替换掉集成电路板上某个已有芯片,在主板上安装这样一个“恶意芯片”有些大费周章。“为什么不将SPI闪存芯片替换成一个开好后门的、和原装看起来完全相同的芯片?”彭博社的报道虽对该芯片如何被装配并发挥作用进行了描述,但具体技术描述过于含糊,且缺乏严谨论证,使得多数人不得不靠猜测来判断所谓“黑客”如何工作。
并且值得一提的是,在彭博社发文指责随后不久,美国副总统彭斯就在10月4号发表的演讲中全面抨击中国。联系到彭博社不顾亚马逊的多次解释,执意认定中国在事件中存在负面行为,不得不考虑是否本次事件只是美国蓄意挑起的贸易战中的一环。
閱讀更多 七賢薈 的文章
