“惡意晶片門”主角強硬否認 美英安全部門“站隊”企業
美國當地時間10月7日,蘋果公司(Apple)高階安全管理人員致信美國國會,稱沒有發現任何可以表明通過晶片對該公司的攻擊屬實的證據。這已是蘋果公司近日對該事件的第二次迴應。
10月4日,《彭博商業週刊》報道稱,蘋果、亞馬遜等美國科技公司來自供應商超微(Super Micro)的伺服器內被植入了“惡意晶片”。三家公司均在第一時間發表宣告否認。值得注意的是,宣告均措辭強烈,且對大量細節進行了詳盡說明,蘋果公司更從技術層面逐一反駁報道疑點。此外,美國國土安全部、英國國家網路安全中心均釋出宣告,對上述各公司表示支援。
涉及企業強勢反駁
《商業週刊》報道稱,植入晶片涉及的美國公司總數可能超過30家,蘋果、亞馬遜和超微是其中“主角”。三家公司均於4日釋出宣告進行反駁,不同於常見的公關宣告,蘋果和亞馬遜羅列了大量細節,且措辭強硬。
科技媒體The Verge指出,蘋果、亞馬遜等公司此次的否認宣告實屬少見。“絕大部分和安全漏洞發現或公眾強烈反對相關的宣告,僅僅是承認這一擔憂,並對消費者的隱私做出模糊的承諾。”但蘋果和亞馬遜的宣告詳盡到幾乎是在對報道逐條反駁。
知名科技博主John Gruber評論稱,亞馬遜宣告署名是其首席資訊保安官Stephen Schmidt,“在亞馬遜,大概沒有人比Schmidt更瞭解其中的詳情。”10月7日,蘋果資訊保安副總裁George Stathakopoulos致信美國參議院和眾議院商業委員會,稱公司反覆調查之後,並未發現任何證據可以表明彭博報道中的觀點,包括超微出售給蘋果的伺服器主機板晶片存在可向中國傳輸資料的後門。蘋果在迴應熱點“負面”新聞時“反射弧”通常較長,但此次第一時間刊登了宣告全文,指出過去一年中彭博記者曾數次就“所謂安全事件”聯絡公司,而蘋果每次均進行了嚴格的內部調查,從未在任何伺服器中發現可疑惡意晶片漏洞,也從未就此事主動聯絡FBI或是其他機構,對於政府安全機構是否在展開調查也並不知情。
亞馬遜也表示,公司在過去數月已多次迴應稱此事並不屬實,亞馬遜過去與現在均未在所用的超微主機板上發現被修改過的硬體或惡意晶片,也從未與政府部門進行任何相關的合作調查。
蘋果和亞馬遜等公司的否認得到了美國、英國政府機構的支援。英國國家網路安全中心(NCSC)表示:“我們注意到了媒體的報道,在當前階段我們沒有理由去懷疑AWS(亞馬遜雲服務)和蘋果詳盡的評估結果。”隨後美國國土安全部也在官網釋出宣告稱,目前沒有理由懷疑這幾家公司的宣告。
技術層面疑點重重
“惡意晶片門”報道也在經受技術層面的質疑。有分析指出,該報道雖對該晶片如何被裝配併發揮作用進行了描述,但具體技術描述過於含糊,且缺乏嚴謹論證。
Gruber在6日評論稱,若受影響的伺服器真如報道所述,有數千臺之多,安全專家應能識別出其中的流氓晶片,“蘋果公司不會讓它不了了之。”
報道曾指出,該晶片內建儲存和網路功能,可在主機系統留下硬體後門,允許外部對伺服器資訊進行竊取。不過文章並未特別交代實現這一途徑的技術細節。有安全技術專家指出,由於缺乏有關硬體裝置和在網路中竊取資料的工作原理等,報道可信度大打折扣。
資深IT記者Kieren McCarthy近日在科技媒體The Register發文稱,多數人不得不靠猜測來判斷所謂“黑客”如何工作,他指出報道一些技術疑點。例如,來自被滲透伺服器的非正常網路流量應當是可以被偵測到的。
依據報道,“惡意晶片”僅有鉛筆尖大小。“用它來攔截重寫從SPI快閃記憶體或序列EEPROM傳來的資料並非不可能,但它必須儲存有足夠的資料,來替換BMC韌體程式碼,然後更改執行中的作業系統或執行可行的後門。”此外McCarthy還提出,比起直接替換掉整合電路板上某個已有晶片,在主機板上安裝這樣一個“惡意晶片”有些大費周章。“為什麼不將SPI快閃記憶體晶片替換成一個開好後門的、和原裝看起來完全相同的晶片?”(編輯:董黎明)
ofollow,noindex" target="_blank">返回21經濟首頁>>