苹果亚马逊被植入“国产间谍芯片”?回应:无稽之谈!
据外媒报道,近日彭博社报道指责包括苹果和亚马逊在内的多家美国硅谷科技巨头,被不到笔尖大小的国产芯片植入后门,引起轩然大波,而苹果和亚马逊迅速做出回应,表示彭博社报道无稽之谈。
根据彭博社文中的介绍,这个硬件漏洞的问题出现在供应链的源头上,这粒由中国黑客设计的芯片,乍一看是蓝牙信号滤波器,实则有足够的处理性能、内存和联网能力,黑客可以利用它来发起攻击。
与其他芯片相比,这粒来自于中国代工厂的芯片,是世界上最大的主板公司---超微的供货商。后者的应用范围极广,不仅会提供给亚马逊、苹果等科技巨头,而且来自美国的海军和 CIA 等政府机构也会用到,目前出问题的主板已经进入了海军的舰船和 CIA 的无人机。
当天报道一出,对各大公司的股价产生了巨大的影响:位于圣何塞的超微公司公司处于漩涡中心,其股价下跌近50%,而苹果的股价下跌不到2%,亚马逊的股价下跌超过2%。
下图为简要的入侵过程:
安装了这种芯片的主板,会被组装到服务器中,所以被攻破后,黑客可以进入这些科技公司的服务器中的数据中心来进行入侵。
当服务器安装被启用芯片的功能后,黑客就可以修改操作系统内核,让其在未经允许时,来进行远程入侵。
换句话说,这是一个硬件后门,不仅不可能经过软件升级来解决问题,而且由于处于供应链的源头,在漫长的生产、组装、安全校验的过程中,一直未被发现。
在报道中,彭博社还援引了多位内部人士的消息。比如,这粒大米大小的微芯片最初于2015年春季晚些时候在超微服务器主板上被亚马逊网络服务公司(Amazon Web Services, AWS)雇佣的第三方公司发现,该公司在使用这些微芯片构建CIA高度安全的云之前,会进行后台硬件检查。
随后的调查得出的结论是,在超微主板上发现的微芯片,被用作利用被篡改的服务器访问任何公司网络的后门。
除了亚马逊的,还有来自苹果的内部人士。文中介绍,苹果公司在2015年5月从超微公司购买的服务器中发现了这些芯片,当时两名苹果高级内部人士称,他们的服务器群中出现了奇怪的网络活动。
苹果向美国联邦调查局(FBI)报告了这一事件,但没有公开或在公司内部公布任何细节,尽管苹果在短短几周内就从数据中心移走了约7000台超微服务器,随后在2016年彻底与超微分道扬镳。
据彭博社(Bloomberg)从苹果内部人士那里了解到,尽管苹果可能计划将其超微服务器机群扩大至20000台,分布在全球17个地点。
文章发出不久后,处于事件漩涡中心的科技巨头之一的亚马逊就首先跳出来反驳---彭博社的这篇报道简直是一派胡言。。。。
在声明中,亚马逊直言,他们的确聘用了外部机构对其进行技术和安全审计,但没有发现文章所说的可疑芯片,更没有联系美国政府。
并且,亚马逊及第三方并没有提供报告给任何外部人士,《商业周刊》记者也拒绝向亚马逊展示记者拥有的证据,以便亚马逊进行证实。
与此同时,苹果也站出来以罕见的强悍姿态开撕彭博社。
但根据苹果的回应,实际情况是,苹果从未找到在任何服务器里找到任何可疑的芯片,“硬件操控”或者漏洞。苹果从未就此(文章所描述的这一不存在的)事件主动联系 FBI 或其他机构。对于 FBI 是否有调查,公司和执法部门的联系人都不知情。
对于硬件方面的漏洞,苹果一直以来也会进行严苛的安全检验,按照惯例,在将服务器投入生产环境之前,安全专家会检查安全漏洞,并且更新所有固件和软件,以确保硬件享受最新的保护。
大意其实跟亚马逊的一样---彭博社的这篇文章属于失实报道,不仅信源失真,而且多处细节完全错误。
对于苹果和亚马逊的质疑和反驳,目前彭博社还未有任何回应。