10月4日,苹果和亚马逊两家公司分别发表了声明,否认了彭博社于周四发表的一篇报导。
这篇报道名为《大黑客:中国如何利用微型芯片渗透美国公司》(The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies)。文章称,苹果和亚马逊的系统被中国情报机构置入的恶意计算机芯片所侵入。
文中援引了17位未具名情报机构和公司消息人士的话称,中国间谍已经在大约30家公司和多个美国政府机构使用的设备中置入计算机芯片,使北京能够秘密访问这些机构的内网。
文章详细分析了黑客攻击的过程——
翻译:硅星人
苹果和亚马逊在声明中极力反对:“苹果从未发现恶意芯片、‘硬件操纵’或在任何服务中故意植入的漏洞,”
针对文章中提到的“苹果和亚马逊两家公司在自己的服务器里主动发现了可疑的芯片,并且直接联系了 FBI 的美国政府机构”,苹果指出:
- 苹果从未找到在任何服务器里找到任何可疑的芯片,“硬件操控”或者漏洞;
- 苹果从未就此(文章所描述的这一不存在的)事件主动联系FBI或其他机构;
- 对于FBI是否有调查,公司和我们在执法部门的联系人都不知情。
苹果还提供了事实:Siri和Topsy从未共享服务器;Siri技术从未被部署到超微生产的主板上;Topsy使用的超微主板只有2000台,并非7000台,而且这些服务器里从未发现任何可疑芯片。
关于亚马逊发现微型芯片,彭博社是这么写的:2015年,亚马逊以5亿美元收购美国视频服务公司Elemental,在收购完成前做背景调查时,亚马逊聘请第三方来检测Elemental的服务器,在Elemental服务器主板上,发现了与原始设计不符的小芯片,这些主板由Supermicro提供,亚马逊发现状况后向美国政府报告了其调查结果,“这让(美国)情报界不寒而栗。”
然而,这一说法被亚马逊明确否认。
亚马逊在声明中表示:无论任何时候、过去或现在,我们都没有发现过任何与修改硬件有关的问题、或在任何Elemental或亚马逊系统中的Super Micro母板中找到恶意芯片。此外,我们并没有与政府一起展开调查。
亚马逊还澄清:亚马逊不但没有在亚马逊中国发现过这一问题,而且亚马逊中国业务上线之初,就是按照中国法律和光环新网合作运营的(否则无法运营)。合作机构从始至终拥有这些数据中心,更无撇清关系一说。
彭博社坚持自己的报导正确无误,并在声明中指出:“有17位个人消息人士,包括政府官员和这些企业的内部人士,证实了存在硬件操纵和其他形式的攻击,”“我们支持我们的报导,且对报导和消息来源有信心。”
据硅星人了解,文章提到的小芯片伪装成了信号调理耦合器,应该是一枚阻抗匹配巴伦滤波器。淘宝一块钱一个,十块钱一把。不过,它的确有被开发成为黑客装置的潜力。
理论上,这个滤波器可以被改装成收集并储存电力,用于执行某些本身之外的非原生功能。它有联网的能力,但是并不是通过上面的焊点联通到主板上的有线网络上,而是通过射频天线劫持蓝牙甚至 Wi-Fi。但问题在于,以文章展示的滤波器的尺寸来讲,它很难有足够的空间来储存足够的代码,或者执行足够的操作来维持后门的开启,黑掉蓝牙、Wi-Fi连接。
硅星人认为,这篇报道存在几个方面的问题:
- 缺乏技术论证和公开信源;
- 报道严重低估了苹果亚马逊安全标准;
- 强词夺理混淆真相。
硅星人指出:这篇文章对于黑客攻击实施缺乏足够的技术细节阐释,却有大量且不成比例的叙述性、故事性内容。比如这一段:调查过此事件的美国政府官员,将超微形容为硬件界的微软,“攻击超微主板就像攻击整个世界”……
知名科技博主John Gruber认为:要么彭博的报道(至少关于苹果和亚马逊的部分)严重事实错误,要么苹果、亚马逊的声明,是堂而皇之的谎言。
对于这件事,你怎么看?