美国当地时间10月7日,苹果公司(Apple)高级安全管理人员致信美国国会,称没有发现任何可以表明通过芯片对该公司的攻击属实的证据。这已是苹果公司近日对该事件的第二次回应。
10月4日,《彭博商业周刊》报道称,苹果、亚马逊等美国科技公司来自供应商超微(Super Micro)的服务器内被植入了“恶意芯片”。三家公司均在第一时间发表声明否认。值得注意的是,声明均措辞强烈,且对大量细节进行了详尽说明,苹果公司更从技术层面逐一反驳报道疑点。此外,美国国土安全部、英国国家网络安全中心均发布声明,对上述各公司表示支持。
涉及企业强势反驳
《商业周刊》报道称,植入芯片涉及的美国公司总数可能超过30家,苹果、亚马逊和超微是其中“主角”。三家公司均于4日发布声明进行反驳,不同于常见的公关声明,苹果和亚马逊罗列了大量细节,且措辞强硬。
科技媒体The Verge指出,苹果、亚马逊等公司此次的否认声明实属少见。“绝大部分和安全漏洞发现或公众强烈反对相关的声明,仅仅是承认这一担忧,并对消费者的隐私做出模糊的承诺。”但苹果和亚马逊的声明详尽到几乎是在对报道逐条反驳。
知名科技博主John Gruber评论称,亚马逊声明署名是其首席信息安全官Stephen Schmidt,“在亚马逊,大概没有人比Schmidt更了解其中的详情。”10月7日,苹果信息安全副总裁George Stathakopoulos致信美国参议院和众议院商业委员会,称公司反复调查之后,并未发现任何证据可以表明彭博报道中的观点,包括超微出售给苹果的服务器主板芯片存在可向中国传输数据的后门。苹果在回应热点“负面”新闻时“反射弧”通常较长,但此次第一时间刊登了声明全文,指出过去一年中彭博记者曾数次就“所谓安全事件”联系公司,而苹果每次均进行了严格的内部调查,从未在任何服务器中发现可疑恶意芯片漏洞,也从未就此事主动联系FBI或是其他机构,对于政府安全机构是否在展开调查也并不知情。
亚马逊也表示,公司在过去数月已多次回应称此事并不属实,亚马逊过去与现在均未在所用的超微主板上发现被修改过的硬件或恶意芯片,也从未与政府部门进行任何相关的合作调查。
苹果和亚马逊等公司的否认得到了美国、英国政府机构的支持。英国国家网络安全中心(NCSC)表示:“我们注意到了媒体的报道,在当前阶段我们没有理由去怀疑AWS(亚马逊云服务)和苹果详尽的评估结果。”随后美国国土安全部也在官网发布声明称,目前没有理由怀疑这几家公司的声明。
技术层面疑点重重
“恶意芯片门”报道也在经受技术层面的质疑。有分析指出,该报道虽对该芯片如何被装配并发挥作用进行了描述,但具体技术描述过于含糊,且缺乏严谨论证。
Gruber在6日评论称,若受影响的服务器真如报道所述,有数千台之多,安全专家应能识别出其中的流氓芯片,“苹果公司不会让它不了了之。”
报道曾指出,该芯片内置存储和网络功能,可在主机系统留下硬件后门,允许外部对服务器信息进行窃取。不过文章并未特别交代实现这一途径的技术细节。有安全技术专家指出,由于缺乏有关硬件设备和在网络中窃取数据的工作原理等,报道可信度大打折扣。
资深IT记者Kieren McCarthy近日在科技媒体The Register发文称,多数人不得不靠猜测来判断所谓“黑客”如何工作,他指出报道一些技术疑点。例如,来自被渗透服务器的非正常网络流量应当是可以被侦测到的。
依据报道,“恶意芯片”仅有铅笔尖大小。“用它来拦截重写从SPI闪存或串行EEPROM传来的数据并非不可能,但它必须存储有足够的数据,来替换BMC固件代码,然后更改运行中的操作系统或执行可行的后门。”此外McCarthy还提出,比起直接替换掉集成电路板上某个已有芯片,在主板上安装这样一个“恶意芯片”有些大费周章。“为什么不将SPI闪存芯片替换成一个开好后门的、和原装看起来完全相同的芯片?”(编辑:董黎明)