美國當地時間10月7日,蘋果公司(Apple)高級安全管理人員致信美國國會,稱沒有發現任何可以表明通過芯片對該公司的攻擊屬實的證據。這已是蘋果公司近日對該事件的第二次回應。
10月4日,《彭博商業週刊》報道稱,蘋果、亞馬遜等美國科技公司來自供應商超微(Super Micro)的服務器內被植入了“惡意芯片”。三家公司均在第一時間發表聲明否認。值得注意的是,聲明均措辭強烈,且對大量細節進行了詳盡說明,蘋果公司更從技術層面逐一反駁報道疑點。此外,美國國土安全部、英國國家網絡安全中心均發佈聲明,對上述各公司表示支持。
涉及企業強勢反駁
《商業週刊》報道稱,植入芯片涉及的美國公司總數可能超過30家,蘋果、亞馬遜和超微是其中“主角”。三家公司均於4日發佈聲明進行反駁,不同於常見的公關聲明,蘋果和亞馬遜羅列了大量細節,且措辭強硬。
科技媒體The Verge指出,蘋果、亞馬遜等公司此次的否認聲明實屬少見。“絕大部分和安全漏洞發現或公眾強烈反對相關的聲明,僅僅是承認這一擔憂,並對消費者的隱私做出模糊的承諾。”但蘋果和亞馬遜的聲明詳盡到幾乎是在對報道逐條反駁。
知名科技博主John Gruber評論稱,亞馬遜聲明署名是其首席信息安全官Stephen Schmidt,“在亞馬遜,大概沒有人比Schmidt更瞭解其中的詳情。”10月7日,蘋果信息安全副總裁George Stathakopoulos致信美國參議院和眾議院商業委員會,稱公司反覆調查之後,並未發現任何證據可以表明彭博報道中的觀點,包括超微出售給蘋果的服務器主板芯片存在可向中國傳輸數據的後門。蘋果在回應熱點“負面”新聞時“反射弧”通常較長,但此次第一時間刊登了聲明全文,指出過去一年中彭博記者曾數次就“所謂安全事件”聯繫公司,而蘋果每次均進行了嚴格的內部調查,從未在任何服務器中發現可疑惡意芯片漏洞,也從未就此事主動聯繫FBI或是其他機構,對於政府安全機構是否在展開調查也並不知情。
亞馬遜也表示,公司在過去數月已多次回應稱此事並不屬實,亞馬遜過去與現在均未在所用的超微主板上發現被修改過的硬件或惡意芯片,也從未與政府部門進行任何相關的合作調查。
蘋果和亞馬遜等公司的否認得到了美國、英國政府機構的支持。英國國家網絡安全中心(NCSC)表示:“我們注意到了媒體的報道,在當前階段我們沒有理由去懷疑AWS(亞馬遜雲服務)和蘋果詳盡的評估結果。”隨後美國國土安全部也在官網發佈聲明稱,目前沒有理由懷疑這幾家公司的聲明。
技術層面疑點重重
“惡意芯片門”報道也在經受技術層面的質疑。有分析指出,該報道雖對該芯片如何被裝配併發揮作用進行了描述,但具體技術描述過於含糊,且缺乏嚴謹論證。
Gruber在6日評論稱,若受影響的服務器真如報道所述,有數千臺之多,安全專家應能識別出其中的流氓芯片,“蘋果公司不會讓它不了了之。”
報道曾指出,該芯片內置存儲和網絡功能,可在主機系統留下硬件後門,允許外部對服務器信息進行竊取。不過文章並未特別交代實現這一途徑的技術細節。有安全技術專家指出,由於缺乏有關硬件設備和在網絡中竊取數據的工作原理等,報道可信度大打折扣。
資深IT記者Kieren McCarthy近日在科技媒體The Register發文稱,多數人不得不靠猜測來判斷所謂“黑客”如何工作,他指出報道一些技術疑點。例如,來自被滲透服務器的非正常網絡流量應當是可以被偵測到的。
依據報道,“惡意芯片”僅有鉛筆尖大小。“用它來攔截重寫從SPI閃存或串行EEPROM傳來的數據並非不可能,但它必須存儲有足夠的數據,來替換BMC固件代碼,然後更改運行中的操作系統或執行可行的後門。”此外McCarthy還提出,比起直接替換掉集成電路板上某個已有芯片,在主板上安裝這樣一個“惡意芯片”有些大費周章。“為什麼不將SPI閃存芯片替換成一個開好後門的、和原裝看起來完全相同的芯片?”
閱讀更多 華強微電子 的文章
