10月4日，彭博社的一篇報(bào)道在科技圈引起了軒然大波－－包括蘋果、亞馬遜在內(nèi)的多家科技巨頭，都被一個(gè)不到鉛筆尖大小的中國芯片植入后門了！

根據(jù)文中的介紹，這個(gè)硬件漏洞的問題出現(xiàn)在供應(yīng)鏈的源頭上，這粒由中國黑客設(shè)計(jì)的芯片，乍一看是藍(lán)牙信號濾波器，實(shí)則有足夠的處理性能、內(nèi)存和聯(lián)網(wǎng)能力，黑客可以利用它來發(fā)起攻擊。

與其他芯片相比，這粒來自于中國代工廠的芯片，是世界上最大的主板公司－－－超微的供貨商。后者的應(yīng)用范圍極廣，不僅會提供給亞馬遜、蘋果等科技巨頭，而且來自美國的海軍和 CIA 等政府機(jī)構(gòu)也會用到，目前出問題的主板已經(jīng)進(jìn)入了海軍的艦船和 CIA 的無人機(jī)。

雷鋒網(wǎng)發(fā)現(xiàn)，當(dāng)天報(bào)道一出，對各大公司的股價(jià)產(chǎn)生了巨大的影響：位于圣何塞的超微公司公司處于漩渦中心，其股價(jià)下跌近50％，而蘋果的股價(jià)下跌不到2％，亞馬遜的股價(jià)下跌超過2％。

下圖為簡要的入侵過程：（公眾號：雷鋒網(wǎng)）

安裝了這種芯片的主板，會被組裝到服務(wù)器中，所以被攻破后，黑客可以進(jìn)入這些科技公司的服務(wù)器中的數(shù)據(jù)中心來進(jìn)行入侵。

當(dāng)服務(wù)器安裝被啟用芯片的功能后，黑客就可以修改操作系統(tǒng)內(nèi)核，讓其在未經(jīng)允許時(shí)，來進(jìn)行遠(yuǎn)程入侵。

換句話說，這是一個(gè)硬件后門，不僅不可能經(jīng)過軟件升級來解決問題，而且由于處于供應(yīng)鏈的源頭，在漫長的生產(chǎn)、組裝、安全校驗(yàn)的過程中，一直未被發(fā)現(xiàn)。

在報(bào)道中，彭博社還援引了多位內(nèi)部人士的消息。比如，這粒大米大小的微芯片最初于2015年春季晚些時(shí)候在超微服務(wù)器主板上被亞馬遜網(wǎng)絡(luò)服務(wù)公司(Amazon Web Services, AWS)雇傭的第三方公司發(fā)現(xiàn)，該公司在使用這些微芯片構(gòu)建CIA高度安全的云之前，會進(jìn)行后臺硬件檢查。

隨后的調(diào)查得出的結(jié)論是，在超微主板上發(fā)現(xiàn)的微芯片，被用作利用被篡改的服務(wù)器訪問任何公司網(wǎng)絡(luò)的后門。

除了亞馬遜的，還有來自蘋果的內(nèi)部人士。文中介紹，蘋果公司在2015年5月從超微公司購買的服務(wù)器中發(fā)現(xiàn)了這些芯片，當(dāng)時(shí)兩名蘋果高級內(nèi)部人士稱，他們的服務(wù)器群中出現(xiàn)了奇怪的網(wǎng)絡(luò)活動。

蘋果向美國聯(lián)邦調(diào)查局(FBI)報(bào)告了這一事件，但沒有公開或在公司內(nèi)部公布任何細(xì)節(jié)，盡管蘋果在短短幾周內(nèi)就從數(shù)據(jù)中心移走了約7000臺超微服務(wù)器，隨后在2016年徹底與超微分道揚(yáng)鑣。

據(jù)彭博社(Bloomberg)從蘋果內(nèi)部人士那里了解到，盡管蘋果可能計(jì)劃將其超微服務(wù)器機(jī)群擴(kuò)大至20000臺，分布在全球17個(gè)地點(diǎn)。

文章發(fā)出不久后，處于事件漩渦中心的科技巨頭之一的亞馬遜就首先跳出來反駁－－－彭博社的這篇報(bào)道簡直是一派胡言。。。。

在聲明中，亞馬遜直言，他們的確聘用了外部機(jī)構(gòu)對其進(jìn)行技術(shù)和安全審計(jì)，但沒有發(fā)現(xiàn)文章所說的可疑芯片，更沒有聯(lián)系美國政府。

并且，亞馬遜及第三方并沒有提供報(bào)告給任何外部人士，《商業(yè)周刊》記者也拒絕向亞馬遜展示記者擁有的證據(jù)，以便亞馬遜進(jìn)行證實(shí)。

與此同時(shí)，蘋果也站出來以罕見的強(qiáng)悍姿態(tài)開撕彭博社。

但根據(jù)蘋果的回應(yīng)，實(shí)際情況是，蘋果從未找到在任何服務(wù)器里找到任何可疑的芯片，“硬件操控”或者漏洞。蘋果從未就此（文章所描述的這一不存在的）事件主動聯(lián)系 FBI 或其他機(jī)構(gòu)。對于 FBI 是否有調(diào)查，公司和執(zhí)法部門的聯(lián)系人都不知情。

對于硬件方面的漏洞，蘋果一直以來也會進(jìn)行嚴(yán)苛的安全檢驗(yàn)，按照慣例，在將服務(wù)器投入生產(chǎn)環(huán)境之前，安全專家會檢查安全漏洞，并且更新所有固件和軟件，以確保硬件享受最新的保護(hù)。

大意其實(shí)跟亞馬遜的一樣－－－彭博社的這篇文章屬于失實(shí)報(bào)道，不僅信源失真，而且多處細(xì)節(jié)完全錯(cuò)誤。

對于蘋果和亞馬遜的質(zhì)疑和反駁，目前彭博社還未有任何回應(yīng)。（公眾號：雷鋒網(wǎng)）

消息來源：theregister、softpedia

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。