10月4日,苹果和亚马逊两家公司分别发表了声明,否认了彭博社于周四发表的一篇报导。
彭博社的这篇报道名为《大黑客:中国如何利用微型芯片渗透美国公司》(The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies)。文章称,苹果和亚马逊的系统被中国情报机构置入的恶意计算机芯片所侵入。文中援引了17位未具名情报机构和公司消息人士的话称,中国间谍已经在大约30家公司和多个美国政府机构使用的设备中置入计算机芯片,使北京能够秘密访问这些机构的内网。
文章详细分析了黑客攻击的过程——
翻译:硅星人
受此影响,从昨夜到今日,文章“主角”苹果、亚马逊股价下跌超过1%,Supermicro股价惨跌41.12%。相关公司股价也受到影响:联想遭遇2009年1月以来最大跌幅23%;中兴、中芯科技、华虹半导体等国内公司也遭受重创。
然而,不少观点认为,这篇文章存在多处疑点。智东西总结:文章没有交代是哪个美国机构进行的调查?是哪个中国企业涉案?文章没有给出任何官方机构或官方调查员的名字;文中提到的中国分包商究竟参与了哪些环节?为什么一个分包商能将芯片放置在这么核心的环节而无人查出?......
硅星人认为,这篇报道存在几个方面的问题:
缺乏技术论证和公开信源;
报道严重低估了苹果亚马逊安全标准;
强词夺理混淆真相。
这篇文章对于黑客攻击实施缺乏足够的技术细节阐释,却有大量且不成比例的叙述性、故事性内容。比如这一段:调查过此事件的美国政府官员,将超微形容为硬件界的微软,“攻击超微主板就像攻击整个世界”……
苹果亚马逊:这锅我不背
对于这篇报道的“指控”,苹果和亚马逊在声明中极力否认:“苹果从未发现恶意芯片、‘硬件操纵’或在任何服务中故意植入的漏洞。”
针对文章中提到的“苹果和亚马逊两家公司在自己的服务器里主动发现了可疑的芯片,并且直接联系了FBI的美国政府机构”,苹果指出:
苹果从未找到在任何服务器里找到任何可疑的芯片,“硬件操控”或者漏洞;
苹果从未就此(文章所描述的这一不存在的)事件主动联系FBI或其他机构;
对于FBI是否有调查,公司和我们在执法部门的联系人都不知情。
苹果还提供了事实:Siri和Topsy从未共享服务器;Siri技术从未被部署到超微生产的主板上;Topsy使用的超微主板只有2000台,并非7000台,而且这些服务器里从未发现任何可疑芯片。
关于亚马逊发现微型芯片,彭博社是这么写的:2015年,亚马逊以5亿美元收购美国视频服务公司Elemental,在收购完成前做背景调查时,亚马逊聘请第三方来检测Elemental的服务器,在Elemental服务器主板上,发现了与原始设计不符的小芯片,这些主板由Supermicro提供,亚马逊发现状况后向美国政府报告了其调查结果,“这让(美国)情报界不寒而栗。”
然而,这一说法被亚马逊明确否认。
亚马逊在声明中表示:无论任何时候、过去或现在,我们都没有发现过任何与修改硬件有关的问题、或在任何Elemental或亚马逊系统中的Super Micro母板中找到恶意芯片。此外,我们并没有与政府一起展开调查。
亚马逊还澄清:亚马逊不但没有在亚马逊中国发现过这一问题,而且亚马逊中国业务上线之初,就是按照中国法律和光环新网合作运营的(否则无法运营)。合作机构从始至终拥有这些数据中心,更无撇清关系一说。
然而,彭博社坚持自己的报导正确无误,并在声明中指出:“有17位个人消息人士,包括政府官员和这些企业的内部人士,证实了存在硬件操纵和其他形式的攻击,”“我们支持我们的报导,且对报导和消息来源有信心。”
中国某企业:锅从天上来
报道中的另一位“主角”,Supermicro,是美国最大服务器生产商之一。彭博社此次的报道将矛头指向Supermicro在中国的分包商。文章写道:中国某企业通过在Supermicro的服务器芯片中植入了一枚超级微小的芯片,进而黑进了全美约30多家企业的服务器里窃取信息。
据苹果的三位资深内部人士称,2015年夏天,该公司在Supermicro主板上发现了恶意芯片,当安全团队发现这些芯片时,已经购买了大约7000台Supermicro服务器。但是,苹果因无关原因在2016年切断了与Supermicro的关系。
对于这件事,知名科技博主John Gruber认为:要么彭博的报道(至少关于苹果和亚马逊的部分)严重事实错误,要么苹果、亚马逊的声明,是堂而皇之的谎言。
TechSugar指出:不管是“铅笔尖”大小,还是“米粒”大小,一颗小芯片能够绕开服务器主芯片的启动安全校验,并且自带通信、处理与存储能力,还能悄悄改变操作系统,如果中国能造出这样的芯片,还用怕美国的封锁?
有业内人士认为:有可能是主板上某颗中国公司生产的芯片在设计上存在漏洞,被美国发现可以通过该漏洞进行攻击,但这个攻击方法中国的公司未必知道,彭博等美方人员就一口咬定是中国公司蓄意植入后门。不过,如果是这种情况,这种芯片应该不是“铅笔尖”一样小的芯片,而且目前服务器中用到的芯片核心供应商都不是中国公司,所以这种说法可能性不大。结合特朗普政府的一系列行为与表态,彭博社的报道有可能是有意而为之,向中国电子制造业泼脏水。
结合目前的媒体报道,苹果及亚马逊的声明,以及各方观点,如果彭博社拿不出更确切的信源,无法回应质疑,那么此次的报道实在无法令人信服。
(本文整合了路透、硅星人、智东西、TechSugar的报道)