昨天，彭博商業(yè)周刊一篇報(bào)道引起軒然大波：包括蘋(píng)果、亞馬遜等公司都曾受到了來(lái)自中國(guó)微芯片的“侵入”。而業(yè)內(nèi)人士表示，這個(gè)“微芯片”的作用似乎被放大，并且在淘寶上只需要花1塊錢(qián)就能買(mǎi)到。

一顆國(guó)產(chǎn)“芯片”，入侵蘋(píng)果、亞馬遜？

昨天，彭博商業(yè)周刊刊發(fā)一篇令人震驚的封面報(bào)道《大黑客：中國(guó)如何利用微型芯片滲透美國(guó)公司》（The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies）。

文章中說(shuō)，包括蘋(píng)果、亞馬遜等公司以及政府安全部門(mén)都曾受到了來(lái)自中國(guó)芯片的“侵入”。彭博商業(yè)周刊還把這種通過(guò)硬件而非軟件的方式稱(chēng)為黑魔法，猶如“親眼目睹獨(dú)角獸越過(guò)彩虹”。

芯片小如鉛筆尖，侵入到30多家公司？

故事首先追溯到三年前。

2015年，亞馬遜開(kāi)始悄悄評(píng)估一家名為Elemental Technologies的初創(chuàng)公司，這項(xiàng)收購(gòu)為今后的亞馬遜Prime視頻奠定了雛形。

Elemental總部位于俄勒岡州波特蘭市，主要業(yè)務(wù)是制作用于壓縮海量視頻文件并將其格式化為不同設(shè)備的軟件。Elemental的技術(shù)用在了2012年倫敦奧運(yùn)會(huì)，并且與國(guó)際空間站進(jìn)行交流，還向中央情報(bào)局匯集無(wú)人機(jī)鏡頭。

彭博商業(yè)周刊報(bào)道，為了幫助盡職調(diào)查，亞馬遜AWS聘請(qǐng)了第三方公司來(lái)審查Elemental的安全性，隨即就發(fā)現(xiàn)了令人不安的問(wèn)題：Elemental的主要產(chǎn)品中安裝了用于處理視頻壓縮的服務(wù)器，而在測(cè)試中發(fā)現(xiàn)了一塊比米粒還小的微芯片，它并不是電路板原始設(shè)計(jì)的一部分。

隨后亞馬遜向美國(guó)當(dāng)局報(bào)告了這一發(fā)現(xiàn)。而讓情報(bào)界感到不寒而栗的是，Elemental的服務(wù)器可以在國(guó)防部數(shù)據(jù)中心、CIA的無(wú)人機(jī)操作以及海軍戰(zhàn)艦的機(jī)載網(wǎng)絡(luò)中應(yīng)用。

在經(jīng)過(guò)調(diào)查后發(fā)現(xiàn)，這些服務(wù)器由Super Micro Computer（美超微）為Elemental組裝。

美超微，簡(jiǎn)稱(chēng)Supermicro，是世界上最大的服務(wù)器主板供應(yīng)商之一，被彭博商業(yè)周刊稱(chēng)為硬件界的微軟。不過(guò)，這個(gè)微芯片也并非是美超微自己生產(chǎn)的。

美超微官網(wǎng)

美超微在加利福尼亞州、荷蘭和中國(guó)***擁有裝配設(shè)施，但其核心產(chǎn)品——主板幾乎全部由中國(guó)的承包商制造。

彭博商業(yè)周刊還制作了張圖，詳細(xì)介紹了微芯片是如何進(jìn)入到Elemental的服務(wù)器中。

“入侵”一共分五個(gè)步驟：

中國(guó)黑客微芯片小如削尖的鉛筆尖。其中一些芯片看起來(lái)像信號(hào)調(diào)理耦合器，它們結(jié)合了內(nèi)存、網(wǎng)絡(luò)能力和足夠的處理能力來(lái)應(yīng)對(duì)攻擊。

這些微芯片被中國(guó)工廠放進(jìn)全球最大服務(wù)器主板銷(xiāo)售商美超微（SuperMicro）的主板里。

受損的主板被安裝在由美超微公司組裝的服務(wù)器上。

這些遭到破壞的服務(wù)器進(jìn)入了數(shù)十家公司運(yùn)營(yíng)的數(shù)據(jù)中心。

當(dāng)安裝并打開(kāi)服務(wù)器時(shí)，微芯片改變了操作系統(tǒng)的核心，使其能夠接受修改。該芯片還可以連接攻擊者控制的計(jì)算機(jī)，從而尋找指令和代碼。

一位接受采訪的官員表示，調(diào)查人員發(fā)現(xiàn)它最終影響了近30家公司，包括一家大型銀行、政府承包商和全球最有價(jià)值的公司蘋(píng)果。

報(bào)道稱(chēng)，蘋(píng)果在2015年夏天在美超微的主板上發(fā)現(xiàn)了這個(gè)惡意芯片，于是在第二年，蘋(píng)果公司切斷了與美超微的聯(lián)系，結(jié)束了合作。

蘋(píng)果、亞馬遜、美超微回應(yīng)：彭博報(bào)道有誤

盡管彭博的報(bào)道看上去很詳盡，但蘋(píng)果和亞馬遜的回應(yīng)看上去更有說(shuō)服力，并且回復(fù)的非常詳細(xì)，逐點(diǎn)否定了彭博的報(bào)道。

以下是這三家公司在回應(yīng)中的一些亮點(diǎn)：

亞馬遜

關(guān)于（彭博社報(bào)道中提到的）在收購(gòu)Elemental時(shí)，AWS就已經(jīng)了解供應(yīng)鏈妥協(xié)、惡意芯片問(wèn)題或硬件修改的說(shuō)法并非事實(shí)。

關(guān)于AWS早就發(fā)現(xiàn)含有惡意芯片的服務(wù)器或基于中國(guó)數(shù)據(jù)中心的修改行為，以及AWS與FBI合作調(diào)查有關(guān)惡意硬件的數(shù)據(jù)，也從未發(fā)生。

對(duì)于與Super Micro相關(guān)的任何問(wèn)題，我們重新審核了當(dāng)年收購(gòu)Elemental的相關(guān)記錄，包括我們?cè)?015年進(jìn)行的第三方安全審計(jì)，這是我們?cè)谑召?gòu)前進(jìn)行盡職調(diào)查的一部分。

我們沒(méi)有發(fā)現(xiàn)任何關(guān)于惡意芯片或硬件被修改的證據(jù)。

蘋(píng)果

在過(guò)去的一年中，彭博新聞社曾多次與我們聯(lián)系，聲稱(chēng)發(fā)現(xiàn)了涉及到Apple的安全事件，有時(shí)言辭模糊，有時(shí)則描述得比較詳細(xì)。每次，我們都會(huì)根據(jù)他們的詢(xún)問(wèn)進(jìn)行嚴(yán)格的內(nèi)部調(diào)查，但每次我們都沒(méi)有找到任何證據(jù)來(lái)支持他們。根據(jù)記錄顯示，我們反復(fù)且持續(xù)地提供了事實(shí)回應(yīng)，幾乎駁斥了彭博社此次有關(guān)蘋(píng)果報(bào)道的方方面面。

它們的故事與先前報(bào)道的2016年事件相混淆，當(dāng)時(shí)我們?cè)谄渲幸粋€(gè)實(shí)驗(yàn)室的單個(gè)Super Micro服務(wù)器上發(fā)現(xiàn)了受感染的驅(qū)動(dòng)程序。這次一次性事件被認(rèn)定為偶然事件而非針對(duì)Apple的針對(duì)性攻擊。

……

在此我們可以非常清楚表示：蘋(píng)果從未發(fā)現(xiàn)任何服務(wù)器中被故意植入的惡意芯片，“硬件操縱”或漏洞。蘋(píng)果也從未與FBI或任何其他機(jī)構(gòu)就此類(lèi)事件進(jìn)行任何聯(lián)系。我們不知道FBI進(jìn)行過(guò)任何相關(guān)調(diào)查，（FBI）也沒(méi)有和我們?cè)谶@方面有過(guò)聯(lián)系。

美超微

雖然我們會(huì)配合任何政府調(diào)查，但我們對(duì)任何有關(guān)這類(lèi)問(wèn)題的調(diào)查并不知情，也沒(méi)有任何政府機(jī)構(gòu)在此方面與我們聯(lián)系過(guò)。我們也并不知曉有任何客戶(hù)放棄美超微作為供應(yīng)商是因?yàn)槌霈F(xiàn)了此類(lèi)問(wèn)題。

……

此外，美超微不設(shè)計(jì)或制造網(wǎng)絡(luò)芯片或相關(guān)固件，我們以及其他領(lǐng)先的服務(wù)器/存儲(chǔ)公司都是從網(wǎng)絡(luò)公司巨頭那里采購(gòu)（網(wǎng)絡(luò)芯片或相關(guān)固件）。

值得注意的是，這些公司很少這樣做出細(xì)節(jié)如此豐富、反駁的迅速透徹程度出人意料的反應(yīng)。當(dāng)被發(fā)現(xiàn)安全漏洞或遭到公眾強(qiáng)烈反對(duì)后，它們的大多數(shù)聲明只承認(rèn)這些擔(dān)憂(yōu)的存在，并對(duì)消費(fèi)者隱私作出模糊的承諾。

例如，在Celebgate iCloud漏洞曝光后，其中包括一些名人裸照的泄漏，蘋(píng)果的回應(yīng)是一種輕微的憤怒和對(duì)任何安全漏洞的簡(jiǎn)單駁斥。

在2014年，亞馬遜發(fā)生了一個(gè)單獨(dú)但同樣具有危害的漏洞：當(dāng)時(shí)研究人員發(fā)現(xiàn)，通過(guò)Heartbleed漏洞，AWS）上所托管的網(wǎng)站有可能泄露敏感信息，如信用卡號(hào)碼。亞馬遜對(duì)Heartbleed的回應(yīng)很簡(jiǎn)單：“AWS已經(jīng)意識(shí)到OpenSSL存在HeartBleed漏洞（CVE-2014-0160），我們將調(diào)查這一漏洞所造成的影響或者需要修復(fù)的地方。當(dāng)我們了解到更多細(xì)節(jié)時(shí)，我們會(huì)有進(jìn)一步回應(yīng)。”

但在這次事件中，蘋(píng)果和亞馬遜全盤(pán)否定了。根據(jù)這些公司的回應(yīng)，沒(méi)有任何“侵入”發(fā)生，并且他們很久之前就已經(jīng)告訴過(guò)彭博新聞社了。

淘寶只賣(mài)1塊5，這個(gè)“微芯片”到底是芯片還是電阻？

通常來(lái)講，有兩種入侵計(jì)算機(jī)設(shè)備的方法，其中一種被稱(chēng)為阻截，包括操縱設(shè)備，這種方式能在從制造商到客戶(hù)的過(guò)程進(jìn)行。根據(jù)前國(guó)家安全局承包商愛(ài)德華·斯諾登泄露的文件，這種方法受到美國(guó)間諜機(jī)構(gòu)的青睞。

另一種方法是從一開(kāi)始就進(jìn)行植入后門(mén)。實(shí)現(xiàn)植入意味著要深入了解產(chǎn)品的設(shè)計(jì)，在工廠中操縱組件，并確保經(jīng)過(guò)篡改的設(shè)備通過(guò)全球物流鏈到達(dá)所需的位置，難度較大。這次Elemental服務(wù)器中出現(xiàn)的微芯片就被認(rèn)為是一種植入。

彭博商業(yè)周刊報(bào)道中的微芯片

彭博商業(yè)周刊稱(chēng)，看過(guò)由第三方安全承包商為亞馬遜做的詳細(xì)報(bào)告的人以及另一位看過(guò)數(shù)碼照片和X射線(xiàn)圖像的人說(shuō)，Elemental服務(wù)器上的芯片設(shè)計(jì)得盡可能不顯眼，這些芯片是灰色或灰白色，它們看起來(lái)更像信號(hào)調(diào)理耦合器，而不是微芯片，因此如果沒(méi)有專(zhuān)門(mén)的設(shè)備，它們不太可能被檢測(cè)到。

這里的信號(hào)調(diào)理耦合器，“目測(cè)”與巴倫濾波器應(yīng)該是同一物體，也是不如一粒米大。在某寶上，巴倫信號(hào)調(diào)節(jié)2.4G藍(lán)牙天線(xiàn)濾波器只賣(mài)1.5元人民幣。

它有無(wú)成為黑客攻擊的潛力？

是有的，但可能需要外星人的技術(shù)才能實(shí)現(xiàn)。

首先，濾波器能夠通過(guò)射頻天線(xiàn)劫持藍(lán)牙甚至Wi-Fi，但前提是需要足夠的電力，這個(gè)不如一粒米大的設(shè)備是否能夠儲(chǔ)存足夠多的電力，現(xiàn)在人類(lèi)的技術(shù)恐怕很難做到。

其次，這么小的尺寸，很難儲(chǔ)存代碼。盡管彭博商業(yè)周刊也提到，“它們所包含的代碼量也很小，但它們能告訴（被植入的）設(shè)備與互聯(lián)網(wǎng)上其他地方的幾臺(tái)匿名計(jì)算機(jī)之一進(jìn)行通信，這些計(jì)算機(jī)裝載了更復(fù)雜的代碼，并準(zhǔn)許設(shè)備的操作系統(tǒng)接受這個(gè)新代碼”。

但是，這個(gè)微芯片無(wú)法插入邏輯，即沒(méi)有CPU這種關(guān)鍵東西，要實(shí)現(xiàn)聯(lián)網(wǎng)并傳輸、改變代碼的能力可能性等于零，除非是外星人的技術(shù)。

一位芯片從業(yè)十多年的人士告訴新智元，比米粒還小的芯片只能是電阻，這篇報(bào)道“大概率是假的”。

“另外，多出一顆芯片也太扯了，要攻擊也是更換芯片更容易。”

科技股遭殃：美超微、聯(lián)想暴跌

彭博商業(yè)周刊的報(bào)道出來(lái)后，直接導(dǎo)致Supermicro的股票暴跌，周四股價(jià)下跌超過(guò)53％，至每股9.95美元，跌幅超過(guò)周三末價(jià)值的一半。

報(bào)道還引起了連鎖反應(yīng)，蘋(píng)果和亞馬遜的股票在報(bào)道發(fā)布時(shí)均下跌超過(guò)1％。

中國(guó)最大的個(gè)人電腦制造商聯(lián)想在香港交易中跌幅高達(dá)23％，為2009年1月以來(lái)的最大跌幅。

與此同時(shí)，彭博的報(bào)道也引起了爭(zhēng)議。

防毒和網(wǎng)絡(luò)安全公司F-Secure的硬件安全負(fù)責(zé)人Andrea Barisani說(shuō)，“如果真的有什么的話(huà)，（這篇報(bào)道）也只有官方否認(rèn)的故事，（報(bào)道的故事）缺乏技術(shù)細(xì)節(jié)并不真正有利于從技術(shù)角度得出的結(jié)論。”

The Verge也在報(bào)道中認(rèn)為，彭博與被報(bào)道的幾家公司激烈且肯定的言論正在引導(dǎo)國(guó)家安全專(zhuān)家質(zhì)疑誰(shuí)才是在講真話(huà)。如果彭博商業(yè)周刊的故事被核實(shí)確有其事，亞馬遜和蘋(píng)果似乎在說(shuō)謊并試圖令潛在的國(guó)家安全風(fēng)險(xiǎn)被人忽視。

到底誰(shuí)在撒謊現(xiàn)在還沒(méi)結(jié)論。