淘寶只賣一塊五,國產“間諜晶片”入侵蘋果、亞馬遜?各方均否認
來源:Bloomberg、The Verge等
編輯:克雷格、木青、三石
【新智元導讀 】 昨天,彭博商業週刊一篇報道引起軒然大波:包括蘋果、亞馬遜等公司都曾受到了來自中國微晶片的“侵入”。而業內人士表示,這個“微晶片”的作用似乎被放大,並且在淘寶上只需要花1塊錢就能買到。
一顆國產“晶片”,入侵蘋果、亞馬遜?
昨天,彭博商業週刊刊發一篇令人震驚的封面報道《大黑客:中國如何利用微型晶片滲透美國公司》(The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies)。
文章中說,包括蘋果、亞馬遜等公司以及政府安全部門都曾受到了來自中國晶片的“侵入”。彭博商業週刊還把這種通過硬體而非軟體的方式稱為黑魔法,猶如“親眼目睹獨角獸越過彩虹”。
晶片小如鉛筆尖,侵入到30多家公司?
故事首先追溯到三年前。
2015年,亞馬遜開始悄悄評估一家名為Elemental Technologies的初創公司,這項收購為今後的亞馬遜Prime視訊奠定了雛形。
Elemental總部位於俄勒岡州波特蘭市,主要業務是製作用於壓縮海量視訊檔案並將其格式化為不同裝置的軟體。Elemental的技術用在了2012年倫敦奧運會,並且與國際空間站進行交流,還向中央情報局彙集無人機鏡頭。
彭博商業週刊報道,為了幫助盡職調查,亞馬遜AWS聘請了第三方公司來審查Elemental的安全性,隨即就發現了令人不安的問題:Elemental的主要產品中安裝了用於處理視訊壓縮的伺服器,而在測試中發現了一塊比米粒還小的微晶片,它並不是電路板原始設計的一部分。
隨後亞馬遜向美國當局報告了這一發現。而讓情報界感到不寒而慄的是,Elemental的伺服器可以在國防部資料中心、CIA的無人機操作以及海軍戰艦的機載網路中應用。
在經過調查後發現,這些伺服器由Super Micro Computer(美超微)為Elemental組裝。
美超微,簡稱Supermicro,是世界上最大的伺服器主機板供應商之一,被彭博商業週刊稱為硬體界的微軟。不過,這個微晶片也並非是美超微自己生產的。
美超微官網
美超微在加利福尼亞州、荷蘭和中國臺灣擁有裝配設施,但其核心產品——主機板幾乎全部由中國的承包商製造。
彭博商業週刊還製作了張圖,詳細介紹了微晶片是如何進入到Elemental的伺服器中。
“入侵”一共分 五個步驟 :
- 中國黑客微晶片小如削尖的鉛筆尖。其中一些晶片看起來像訊號調理耦合器,它們結合了記憶體、網路能力和足夠的處理能力來應對攻擊。
- 這些微晶片被中國工廠放進全球最大伺服器主機板銷售商美超微(SuperMicro)的主機板裡。
- 受損的主機板被安裝在由美超微公司組裝的伺服器上。
- 這些遭到破壞的伺服器進入了數十家公司運營的資料中心。
- 當安裝並開啟伺服器時,微晶片改變了作業系統的核心,使其能夠接受修改。該晶片還可以連線攻擊者控制的計算機,從而尋找指令和程式碼。
一位接受採訪的官員表示,調查人員發現它最終影響了近30家公司,包括一家大型銀行、政府承包商和全球最有價值的公司蘋果。
報道稱,蘋果在2015年夏天在美超微的主機板上發現了這個惡意晶片,於是在第二年,蘋果公司切斷了與美超微的聯絡,結束了合作。
蘋果、亞馬遜、美超微迴應:彭博報道有誤
儘管彭博的報道看上去很詳盡,但蘋果和亞馬遜的迴應看上去更有說服力,並且回覆的非常詳細,逐點否定了彭博的報道。
以下是這三家公司在迴應中的一些亮點:
亞馬遜
關於(彭博社報道中提到的)在收購Elemental時,AWS就已經瞭解供應鏈妥協、惡意晶片問題或硬體修改的說法並非事實。
關於AWS早就發現含有惡意晶片的伺服器或基於中國資料中心的修改行為,以及AWS與FBI合作調查有關惡意硬體的資料,也從未發生。
對於與Super Micro相關的任何問題,我們重新稽核了當年收購Elemental的相關記錄,包括我們在2015年進行的第三方安全審計,這是我們在收購前進行盡職調查的一部分。
我們沒有發現任何關於惡意晶片或硬體被修改的證據。
蘋果
在過去的一年中,彭博新聞社曾多次與我們聯絡,聲稱發現了涉及到Apple的安全事件,有時言辭模糊,有時則描述得比較詳細。每次,我們都會根據他們的詢問進行嚴格的內部調查,但每次我們都沒有找到任何證據來支援他們。根據記錄顯示,我們反覆且持續地提供了事實迴應,幾乎駁斥了彭博社此次有關蘋果報道的方方面面。
它們的故事與先前報道的2016年事件相混淆,當時我們在其中一個實驗室的單個Super Micro伺服器上發現了受感染的驅動程式。這次一次性事件被認定為偶然事件而非針對Apple的針對性攻擊。
……
在此我們可以非常清楚表示:蘋果從未發現任何伺服器中被故意植入的惡意晶片,“硬體操縱”或漏洞。蘋果也從未與FBI或任何其他機構就此類事件進行任何聯絡。我們不知道FBI進行過任何相關調查,(FBI)也沒有和我們在這方面有過聯絡。
美超微
雖然我們會配合任何政府調查,但我們對任何有關這類問題的調查並不知情,也沒有任何政府機構在此方面與我們聯絡過。我們也並不知曉有任何客戶放棄美超微作為供應商是因為出現了此類問題。
……
此外,美超微不設計或製造網路晶片或相關韌體,我們以及其他領先的伺服器/儲存公司都是從網路公司巨頭那裡採購(網路晶片或相關韌體)。
值得注意的是,這些公司很少這樣做出細節如此豐富、反駁的迅速透徹程度出人意料的反應。當被發現安全漏洞或遭到公眾強烈反對後,它們的大多數宣告只承認這些擔憂的存在,並對消費者隱私作出模糊的承諾。
例如,在Celebgate iCloud漏洞曝光後,其中包括一些名人裸照的洩漏,蘋果的迴應是一種輕微的憤怒和對任何安全漏洞的簡單駁斥。
在2014年,亞馬遜發生了一個單獨但同樣具有危害的漏洞:當時研究人員發現,通過Heartbleed漏洞,AWS)上所託管的網站有可能洩露敏感資訊,如信用卡號碼。亞馬遜對Heartbleed的迴應很簡單:“AWS已經意識到OpenSSL存在HeartBleed漏洞(CVE-2014-0160),我們將調查這一漏洞所造成的影響或者需要修復的地方。當我們瞭解到更多細節時,我們會有進一步迴應。”
但在這次事件中,蘋果和亞馬遜全盤否定了。根據這些公司的迴應, 沒有任何“侵入”發生 ,並且他們很久之前就已經告訴過彭博新聞社了。
淘寶只賣1塊5,這個“微晶片”到底是晶片還是電阻?
通常來講,有兩種入侵計算機裝置的方法,其中一種被稱為阻截,包括操縱裝置,這種方式能在從製造商到客戶的過程進行。根據前國家安全域性承包商愛德華·斯諾登洩露的檔案,這種方法受到美國間諜機構的青睞。
另一種方法是從一開始就進行植入後門。實現植入意味著要深入瞭解產品的設計,在工廠中操縱元件,並確保經過篡改的裝置通過全球物流鏈到達所需的位置,難度較大。這次Elemental伺服器中出現的微晶片就被認為是一種植入。
彭博商業週刊報道中的微晶片
彭博商業週刊稱,看過由第三方安全承包商為亞馬遜做的詳細報告的人以及另一位看過數碼照片和X射線影象的人說,Elemental伺服器上的晶片設計得儘可能不顯眼,這些晶片是灰色或灰白色,它們看起來更像 訊號調理耦合器 ,而不是微晶片,因此如果沒有專門的裝置,它們不太可能被檢測到。
這裡的訊號調理耦合器,“目測”與巴倫濾波器應該是同一物體,也是不如一粒米大。在某寶上,巴倫訊號調節2.4G藍芽天線濾波器只賣1.5元人民幣。
它有無成為黑客攻擊的潛力?
是有的,但可能需要外星人的技術才能實現。
首先,濾波器能夠通過射頻天線劫持藍芽甚至Wi-Fi,但前提是需要足夠的電力,這個不如一粒米大的裝置是否能夠儲存足夠多的電力,現在人類的技術恐怕很難做到。
其次,這麼小的尺寸,很難儲存程式碼。儘管彭博商業週刊也提到,“它們所包含的程式碼量也很小,但它們能告訴(被植入的)裝置與網際網路上其他地方的幾臺匿名計算機之一進行通訊,這些計算機裝載了更復雜的程式碼,並准許裝置的作業系統接受這個新程式碼”。
但是,這個微晶片 無法插入邏輯 ,即沒有CPU這種關鍵東西,要實現聯網並傳輸、改變程式碼的能力可能性等於零,除非是外星人的技術。
一位晶片從業十多年的人士告訴新智元,比 米粒還小的晶片只能是電阻 ,這篇報道“大概率是假的”。
“另外,多出一顆晶片也太扯了,要攻擊也是更換晶片更容易。”
科技股遭殃:美超微、聯想暴跌
彭博商業週刊的報道出來後,直接導致Supermicro的股票暴跌,週四股價下跌超過53%,至每股9.95美元,跌幅超過週三末價值的一半。
報道還引起了連鎖反應,蘋果和亞馬遜的股票在報道釋出時均下跌超過1%。
中國最大的個人電腦製造商聯想在香港交易中跌幅高達23%,為2009年1月以來的最大跌幅。
與此同時,彭博的報道也引起了爭議。
防毒和網路安全公司F-Secure的硬體安全負責人Andrea Barisani說,“如果真的有什麼的話,(這篇報道)也只有官方否認的故事,(報道的故事)缺乏技術細節並不真正有利於從技術角度得出的結論。”
The Verge也在報道中認為,彭博與被報道的幾家公司激烈且肯定的言論正在引導國家安全專家質疑誰才是在講真話。如果彭博商業週刊的故事被核實確有其事,亞馬遜和蘋果似乎在說謊並試圖令潛在的國家安全風險被人忽視。
到底誰在撒謊現在還沒結論。
參考資料:
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=technology-vp
https://www.theverge.com/2018/10/4/17936968/apple-amazon-deny-servers-chinese-spy-chips
https://aws.amazon.com/cn/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/?utm_source=Memberful&utm_campaign=0402726fcf-EMAIL_CAMPAIGN_2018_10_04_04_00&utm_medium=email&utm_term=0_d4c7fece27-0402726fcf-110993349
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
愛奇藝 ofollow,noindex"> 返回搜狐,檢視更多
責任編輯: