“间谍芯片”事件升级 AWS和超微CEO在愤怒中声援库克开撕彭博社
今天,AWS和超微(Super Micro)的CEO集体呼吁撤销彭博本月早些时候发布的有关间谍芯片的报告。报告称,中国间谍将恶意微芯片偷运到美国,这些芯片能够危害多达30家公司的计算机网络,包括亚马逊和苹果等。
上周,苹果CEO蒂姆·库克接受了BuzzFeed News的采访,呼吁彭博社撤回该报告。
他说:“这并没有发生。这是没有事实可言的。”
而今日AWS和超微等公司决定跟随苹果的脚步,既是对库克最好的声援,也是让深陷其中的公司本身尽早摆脱指控。
AWS CEO Andy Jassy 说:
“蒂姆库克是对的。彭博社对AWS的报道是错误的。他们没有提供证据,故事一直在变化,对我们的答案不感兴趣,除非我们能证实他们的理论。记者们被耍了。彭博社应该收回该报道。”
超微公司表示该公司将继续调查并索赔,还将审查其主板寻找任何硬件操作问题。
超微公司CEO Charles Liang说:
“彭博社应该采取负责任的行动,收回不受支持的指控。”
注:超微公司CEO Charles Liang是在给客户的信中表态的
事件再还原
彭博社在10月4日发布的该报道,引用了17个未透露姓名的消息来源,包括苹果、亚马逊在内的多家科技巨头都被一个不到铅笔尖大小的中国芯片植入后门了。但报道一出,几乎招到了网络安全专家的一致批评,这些专家对现有证据并不信服。
文中的介绍,这个硬件漏洞的问题出现在供应链的源头上,这粒由中国黑客设计的芯片,乍一看是蓝牙信号滤波器,实则有足够的处理性能、内存和联网能力,黑客可以利用它来发起攻击
与其他芯片相比,这粒来自于中国代工厂的芯片,是世界上最大的主板公司---超微的供货商。后者的应用范围极广,不仅会提供给亚马逊、苹果等科技巨头,而且来自美国的海军和 CIA 等政府机构也会用到,目前出问题的主板已经进入了海军的舰船和 CIA 的无人机。
在报道中,彭博社还援引了多位内部人士的消息。比如,这粒大米大小的微芯片最初于2015年春季晚些时候在超微服务器主板上被亚马逊网络服务公司(Amazon Web Services, AWS)雇佣的第三方公司发现,该公司在使用这些微芯片构建CIA高度安全的云之前,会进行后台硬件检查。
三家巨头以强硬回复彭博社“爆炸性报道”
彭博爆炸性报告发布后不久,处于事件漩涡中心的科技巨头们就首先跳出来反驳:
亚马逊:
恶意芯片报道是不正确的。AWS知道在中国的数据中心的服务器中包含恶意芯片或者AWS与FBI合作调查提供有关恶意硬件的数据,这也是不正确的。
对于与SuperMicro相关的任何问题,我们重新审核了与之相关的收购记录,包括重新审核我们在2015年进行的第三方安全审计,作为我们在收购前进行尽职调查的一部分。我们没有发现任何证据支持恶意芯片或硬件修改的事实。
超微:
虽然我们将配合任何政府调查,但我们不知道任何关于这个话题的真实性,也没有任何政府机构在这方面与我们联系。我们也没有发现有任何客户放弃超微作为供应商。
此外,超微不设计或制造网络芯片或相关的固件,我们以及其他领先的服务器/存储公司从同一领先的网络公司购买它们。
苹果的否认措辞显然更加强硬:
在过去的一年中,彭博曾多次与我们联系,声称有时涉及到Apple的安全事件,有时模糊,有时甚至是精心设计。每次,我们都会根据他们的询问进行严格的内部调查,每次我们都没有找到任何证据来支持他们。我们在记录中反复并持续地提供事实回应,几乎驳斥了彭博相关苹果故事的每个方面。
在此我们可以非常清楚:Apple从来没有发现任何服务器中故意植入的恶意芯片,“硬件操纵”或漏洞。Apple从未与FBI或任何其他机构就此类事件进行任何联系。我们不知道联邦调查局有任何调查,也没有我们在执法方面的联系。
为回应彭博社最新版本的叙述,我们提出以下事实:Siri和Topsy从不共享服务器; Siri从未部署在Super Micro销售给我们的服务器上; Topsy数据仅限于2,000台Super Micro服务器,而不是7,000台。这些服务器都没有被发现持有恶意芯片。
实际上,在Apple投入生产服务器之前,他们会检查安全漏洞,并使用最新的保护措施更新所有固件和软件。当我们根据我们的标准程序更新固件和软件时,我们没有发现我们从Super Micro购买的服务器中的任何异常漏洞。
我们深感失望的是,在与我们打交道时,彭博的记者并未对他们或他们的消息来源可能是错误或误导的可能性持开放态度。我们最好的猜测是,他们的故事与先前报道的2016年事件相混淆,我们在其中一个实验室的单个Super Micro服务器上发现了受感染的驱动程序。这次一次性事件被认定为偶然事件而非针对Apple的针对性攻击。
虽然没有声称涉及客户数据,但我们认真对待这些指控,我们希望用户知道我们尽一切可能保护他们委托给我们的个人信息。我们也希望他们知道彭博社报道的关于Apple的内容是不准确的。
Apple始终相信对我们处理和保护数据的方式保持透明。如果彭博社报道过这样的事件,我们将会提出这个问题,我们会与执法部门密切合作。Apple工程师定期进行严格的安全检查,以确保我们的系统安全。我们知道安全是一场无休止的竞争,这就是为什么我们不断强化我们的系统来应对那些想要窃取我们数据的日益成熟的黑客和网络犯罪分子。
美国与英国安全部门“站队”科技巨头
美国国土安全部、国家安全局和英国最高网络安全局的官员也站出来说他们还没有看到任何证据来证实彭博社的说法。
美国国土安全部支持苹果和亚马逊否认中国的微芯片黑客行为:“我们没有理由怀疑故事中提到的公司的事实”。
图为:美国国土安全部声明
华盛顿邮报记者向美国国家安全局求证,国家安全局网络安全战略高级顾问的罗布·乔伊斯予以回复:我找不到与彭博社文章中的有关的任何证据……如果有人拥有一手证据,可以给我们,我们想和他们谈谈。
注:图中Twitter主为华盛顿邮报记者
英国最大的国家网络安全机构GCHQ 在10月19日透漏:彭博社发布报道,声称中国间谍能够将微芯片放置在服务器中,使得中国政府可以访问世界上一些最大的云平台。但现阶段,GCHQ没有任何理由质疑苹果公司和亚马逊公司给出的详细评估。
这篇文章虽然是假新闻,但是会对电子产业链产生深远的影响。对于苹果、AWS和超微“要求撤稿”的集体声明,目前彭博社还未有任何回应。