10月4日，彭博社的一篇報道在科技圈引起了軒然大波－－包括蘋果、亞馬遜在內的多家科技巨頭，都被一個不到鉛筆尖大小的中國芯片植入后門了！

根據文中的介紹，這個硬件漏洞的問題出現在供應鏈的源頭上，這粒由中國黑客設計的芯片，乍一看是藍牙信號濾波器，實則有足夠的處理性能、內存和聯網能力，黑客可以利用它來發(fā)起攻擊。

與其他芯片相比，這粒來自于中國代工廠的芯片，是世界上最大的主板公司－－－超微的供貨商。后者的應用范圍極廣，不僅會提供給亞馬遜、蘋果等科技巨頭，而且來自美國的海軍和 CIA 等政府機構也會用到，目前出問題的主板已經進入了海軍的艦船和 CIA 的無人機。

雷鋒網發(fā)現，當天報道一出，對各大公司的股價產生了巨大的影響：位于圣何塞的超微公司公司處于漩渦中心，其股價下跌近50％，而蘋果的股價下跌不到2％，亞馬遜的股價下跌超過2％。

下圖為簡要的入侵過程：（公眾號：雷鋒網）

安裝了這種芯片的主板，會被組裝到服務器中，所以被攻破后，黑客可以進入這些科技公司的服務器中的數據中心來進行入侵。

當服務器安裝被啟用芯片的功能后，黑客就可以修改操作系統(tǒng)內核，讓其在未經允許時，來進行遠程入侵。

換句話說，這是一個硬件后門，不僅不可能經過軟件升級來解決問題，而且由于處于供應鏈的源頭，在漫長的生產、組裝、安全校驗的過程中，一直未被發(fā)現。

在報道中，彭博社還援引了多位內部人士的消息。比如，這粒大米大小的微芯片最初于2015年春季晚些時候在超微服務器主板上被亞馬遜網絡服務公司(Amazon Web Services, AWS)雇傭的第三方公司發(fā)現，該公司在使用這些微芯片構建CIA高度安全的云之前，會進行后臺硬件檢查。

隨后的調查得出的結論是，在超微主板上發(fā)現的微芯片，被用作利用被篡改的服務器訪問任何公司網絡的后門。

除了亞馬遜的，還有來自蘋果的內部人士。文中介紹，蘋果公司在2015年5月從超微公司購買的服務器中發(fā)現了這些芯片，當時兩名蘋果高級內部人士稱，他們的服務器群中出現了奇怪的網絡活動。

蘋果向美國聯邦調查局(FBI)報告了這一事件，但沒有公開或在公司內部公布任何細節(jié)，盡管蘋果在短短幾周內就從數據中心移走了約7000臺超微服務器，隨后在2016年徹底與超微分道揚鑣。

據彭博社(Bloomberg)從蘋果內部人士那里了解到，盡管蘋果可能計劃將其超微服務器機群擴大至20000臺，分布在全球17個地點。

文章發(fā)出不久后，處于事件漩渦中心的科技巨頭之一的亞馬遜就首先跳出來反駁－－－彭博社的這篇報道簡直是一派胡言。。。。

在聲明中，亞馬遜直言，他們的確聘用了外部機構對其進行技術和安全審計，但沒有發(fā)現文章所說的可疑芯片，更沒有聯系美國政府。

并且，亞馬遜及第三方并沒有提供報告給任何外部人士，《商業(yè)周刊》記者也拒絕向亞馬遜展示記者擁有的證據，以便亞馬遜進行證實。

與此同時，蘋果也站出來以罕見的強悍姿態(tài)開撕彭博社。

但根據蘋果的回應，實際情況是，蘋果從未找到在任何服務器里找到任何可疑的芯片，“硬件操控”或者漏洞。蘋果從未就此（文章所描述的這一不存在的）事件主動聯系 FBI 或其他機構。對于 FBI 是否有調查，公司和執(zhí)法部門的聯系人都不知情。

對于硬件方面的漏洞，蘋果一直以來也會進行嚴苛的安全檢驗，按照慣例，在將服務器投入生產環(huán)境之前，安全專家會檢查安全漏洞，并且更新所有固件和軟件，以確保硬件享受最新的保護。

大意其實跟亞馬遜的一樣－－－彭博社的這篇文章屬于失實報道，不僅信源失真，而且多處細節(jié)完全錯誤。

對于蘋果和亞馬遜的質疑和反駁，目前彭博社還未有任何回應。（公眾號：雷鋒網）

消息來源：theregister、softpedia

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。