10月4日，彭博社的一篇報(bào)道在科技圈引起了軒然大波－－包括蘋(píng)果、亞馬遜在內(nèi)的多家科技巨頭，都被一個(gè)不到鉛筆尖大小的中國(guó)芯片植入后門(mén)了！

根據(jù)文中的介紹，這個(gè)硬件漏洞的問(wèn)題出現(xiàn)在供應(yīng)鏈的源頭上，這粒由中國(guó)黑客設(shè)計(jì)的芯片，乍一看是藍(lán)牙信號(hào)濾波器，實(shí)則有足夠的處理性能、內(nèi)存和聯(lián)網(wǎng)能力，黑客可以利用它來(lái)發(fā)起攻擊。

與其他芯片相比，這粒來(lái)自于中國(guó)代工廠的芯片，是世界上最大的主板公司－－－超微的供貨商。后者的應(yīng)用范圍極廣，不僅會(huì)提供給亞馬遜、蘋(píng)果等科技巨頭，而且來(lái)自美國(guó)的海軍和 CIA 等政府機(jī)構(gòu)也會(huì)用到，目前出問(wèn)題的主板已經(jīng)進(jìn)入了海軍的艦船和 CIA 的無(wú)人機(jī)。

雷鋒網(wǎng)發(fā)現(xiàn)，當(dāng)天報(bào)道一出，對(duì)各大公司的股價(jià)產(chǎn)生了巨大的影響：位于圣何塞的超微公司公司處于漩渦中心，其股價(jià)下跌近50％，而蘋(píng)果的股價(jià)下跌不到2％，亞馬遜的股價(jià)下跌超過(guò)2％。

下圖為簡(jiǎn)要的入侵過(guò)程：（公眾號(hào)：雷鋒網(wǎng)）

安裝了這種芯片的主板，會(huì)被組裝到服務(wù)器中，所以被攻破后，黑客可以進(jìn)入這些科技公司的服務(wù)器中的數(shù)據(jù)中心來(lái)進(jìn)行入侵。

當(dāng)服務(wù)器安裝被啟用芯片的功能后，黑客就可以修改操作系統(tǒng)內(nèi)核，讓其在未經(jīng)允許時(shí)，來(lái)進(jìn)行遠(yuǎn)程入侵。

換句話說(shuō)，這是一個(gè)硬件后門(mén)，不僅不可能經(jīng)過(guò)軟件升級(jí)來(lái)解決問(wèn)題，而且由于處于供應(yīng)鏈的源頭，在漫長(zhǎng)的生產(chǎn)、組裝、安全校驗(yàn)的過(guò)程中，一直未被發(fā)現(xiàn)。

在報(bào)道中，彭博社還援引了多位內(nèi)部人士的消息。比如，這粒大米大小的微芯片最初于2015年春季晚些時(shí)候在超微服務(wù)器主板上被亞馬遜網(wǎng)絡(luò)服務(wù)公司(Amazon Web Services, AWS)雇傭的第三方公司發(fā)現(xiàn)，該公司在使用這些微芯片構(gòu)建CIA高度安全的云之前，會(huì)進(jìn)行后臺(tái)硬件檢查。

隨后的調(diào)查得出的結(jié)論是，在超微主板上發(fā)現(xiàn)的微芯片，被用作利用被篡改的服務(wù)器訪問(wèn)任何公司網(wǎng)絡(luò)的后門(mén)。

除了亞馬遜的，還有來(lái)自蘋(píng)果的內(nèi)部人士。文中介紹，蘋(píng)果公司在2015年5月從超微公司購(gòu)買(mǎi)的服務(wù)器中發(fā)現(xiàn)了這些芯片，當(dāng)時(shí)兩名蘋(píng)果高級(jí)內(nèi)部人士稱，他們的服務(wù)器群中出現(xiàn)了奇怪的網(wǎng)絡(luò)活動(dòng)。

蘋(píng)果向美國(guó)聯(lián)邦調(diào)查局(FBI)報(bào)告了這一事件，但沒(méi)有公開(kāi)或在公司內(nèi)部公布任何細(xì)節(jié)，盡管蘋(píng)果在短短幾周內(nèi)就從數(shù)據(jù)中心移走了約7000臺(tái)超微服務(wù)器，隨后在2016年徹底與超微分道揚(yáng)鑣。

據(jù)彭博社(Bloomberg)從蘋(píng)果內(nèi)部人士那里了解到，盡管蘋(píng)果可能計(jì)劃將其超微服務(wù)器機(jī)群擴(kuò)大至20000臺(tái)，分布在全球17個(gè)地點(diǎn)。

文章發(fā)出不久后，處于事件漩渦中心的科技巨頭之一的亞馬遜就首先跳出來(lái)反駁－－－彭博社的這篇報(bào)道簡(jiǎn)直是一派胡言。。。。

在聲明中，亞馬遜直言，他們的確聘用了外部機(jī)構(gòu)對(duì)其進(jìn)行技術(shù)和安全審計(jì)，但沒(méi)有發(fā)現(xiàn)文章所說(shuō)的可疑芯片，更沒(méi)有聯(lián)系美國(guó)政府。

并且，亞馬遜及第三方并沒(méi)有提供報(bào)告給任何外部人士，《商業(yè)周刊》記者也拒絕向亞馬遜展示記者擁有的證據(jù)，以便亞馬遜進(jìn)行證實(shí)。

與此同時(shí)，蘋(píng)果也站出來(lái)以罕見(jiàn)的強(qiáng)悍姿態(tài)開(kāi)撕彭博社。

但根據(jù)蘋(píng)果的回應(yīng)，實(shí)際情況是，蘋(píng)果從未找到在任何服務(wù)器里找到任何可疑的芯片，“硬件操控”或者漏洞。蘋(píng)果從未就此（文章所描述的這一不存在的）事件主動(dòng)聯(lián)系 FBI 或其他機(jī)構(gòu)。對(duì)于 FBI 是否有調(diào)查，公司和執(zhí)法部門(mén)的聯(lián)系人都不知情。

對(duì)于硬件方面的漏洞，蘋(píng)果一直以來(lái)也會(huì)進(jìn)行嚴(yán)苛的安全檢驗(yàn)，按照慣例，在將服務(wù)器投入生產(chǎn)環(huán)境之前，安全專家會(huì)檢查安全漏洞，并且更新所有固件和軟件，以確保硬件享受最新的保護(hù)。

大意其實(shí)跟亞馬遜的一樣－－－彭博社的這篇文章屬于失實(shí)報(bào)道，不僅信源失真，而且多處細(xì)節(jié)完全錯(cuò)誤。

對(duì)于蘋(píng)果和亞馬遜的質(zhì)疑和反駁，目前彭博社還未有任何回應(yīng)。（公眾號(hào)：雷鋒網(wǎng)）

消息來(lái)源：theregister、softpedia

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。