中國網路空間安全協會呼籲審查英特爾在華銷售的產品
中國網路空間安全協會(CSAC)週三表示,英特爾在中國銷售的產品應接受安全審查,稱這家美國晶片製造商”不斷損害”中國的國家安全和利益。雖然中國網路安全協會是一個行業組織,而不是政府機構,但它與中國政府關係密切,在其官方微信群裡發表的對英特爾的一系列指控,可能會引發中國強大的網絡空間監管機構–國家互聯網資訊辦公室(CAC)的安全審查。
“建議對英特爾在華銷售的產品啟動網路安全審查,以切實維護中國國家安全和中國消費者的合法權益,」中國網路空間管理局說。
去年,中國網路安全審查辦公室禁止國內關鍵基礎設施營運商購買美國記憶體晶片製造商美光科技生產的產品,因為其認為該公司的產品未能通過網路安全審查。
英特爾沒有立即回應置評請求。 該公司股價在美國股市盤前交易下跌了2.7%。
微信公眾號「中國網路空間安全協會」16日發文:英特爾CPU漏洞頻繁、故障率高,應係統排除英特爾產品網路安全風險。全文如下:
1.安全漏洞問題頻傳
2023年8月,英特爾CPU被曝存在Downfall漏洞,該漏洞是一種CPU瞬態執行側通道漏洞,利用其AVX2或AVX-512指令集中的Gather指令,取得特定向量暫存器緩衝區之前儲存的金鑰、使用者資訊、關鍵參數等敏感資料。此漏洞影響英特爾第6代至第11代酷睿、賽揚、奔騰系列CPU,以及第1代至第4代至強處理器。實際上,早在2022年,就有研究者向英特爾報告過該漏洞,但英特爾在明知漏洞存在的情況下,既不予承認,也未採取有效行動,還持續銷售有漏洞的產品,直至漏洞被公開報道,英特爾才被迫採取漏洞修復措施。已有五位受害者以其自身及「全美CPU消費者」代表的名義,於2023年11月在美國北加州聯邦地方法院聖荷西分院,針對上述情況向英特爾發起集體訴訟。
無獨有偶,2023年11月Google研究人員,又揭露英特爾CPU存在高風險漏洞Reptar。利用該漏洞,攻擊者不僅可以在多租戶虛擬化環境中獲取系統中的個人帳戶、卡號和密碼等敏感數據,還可以引發物理系統掛起或崩潰,導致其承載的其他系統和租戶出現拒絕服務現象。
自2024年以來,英特爾CPU又先後曝出GhostRace、NativeBHI、Indirector等漏洞,英特爾在產品品質、安全管理上的重大缺陷,顯示對顧客極不負責任的態度。
2.可靠性差,漠視用戶投訴
從2023年底開始,大量用戶反映,使用英特爾第13、14代酷睿i9系列CPU玩特定遊戲時,會出現崩潰問題。遊戲廠商甚至在遊戲中加入了彈跳窗處理,警告使用這些CPU的使用者。視覺特效工作室ModelFarm的虛幻引擎主管和視覺特效負責人Dylan Browne發文說,其所在公司採用英特爾處理器的電腦故障率高達50%。
在用戶反映集中、無法遮掩的情況下,英特爾公司最終不得不承認產品存在穩定性問題,給出所謂初步調查報告,將問題歸咎於主機板廠商設定了過高的電壓。但隨機遭到主機板廠商的駁斥,表示其生產的主機板是依照英特爾提供的數據進行BIOS程式開發,崩潰原因不在主機板廠商。 2024年7月,英特爾才發布聲明,對於CPU頻繁崩潰事件給出了解釋,承認由於錯誤的微代碼演算法向處理器發出過高的電壓請求,導致了部分第13、14代處理器出現不穩定現象。
2023年底就頻現崩潰問題,半年以後英特爾公司方才確定問題並給出更新程序,且半年內給出的緩解措施也不奏效,充分反映出英特爾在面對自身產品缺陷時,不是積極坦誠面對問題,而是一味漠視、推諉和拖延。有專業人士推測,其根本原因是英特爾為了獲得效能提升,重獲競爭優勢,而主動犧牲產品穩定性。另據報導,美國「Abington Cole + Ellery」律師事務所,已開始調查英特爾第13、14代處理器不穩定的問題,並將代表最終用戶提起集體訴訟。
3.假借遠端管理之名,行監控用戶之實
英特爾聯合惠普等廠商,共同設計了IPMI(智慧平台管理介面)技術規範,聲稱是為了監控伺服器的實體健康特徵,技術上透過BMC(基板管理控制器)模組對伺服器進行管理和控制。 BMC模組可讓使用者遠端管理設備,可實現啟動電腦、重裝作業系統和掛載ISO鏡像等功能。該模組也曾被曝存在高風險漏洞(如CVE-2019-11181),導致全球大量伺服器面臨被攻擊控制的極大安全風險。
除此之外,英特爾還在產品中整合存在嚴重漏洞的第三方開源元件。以英特爾M10JNPSB伺服器主機板為例,該產品支援IPMI管理,目前停止售後,2022年12月13日發布了最後一次韌體更新包,分析可知其web伺服器為lighttpd,版本編號為1.4.35,竟然是2014年3月12日的版本,而當時lighttpd的最新版本已升級至1.4.66,兩者竟然相差9年之久,時間跨度之大令人驚訝。這種不負責任的行為,將廣大伺服器使用者的網路和資料安全,置於巨大的風險中。
4.暗設後門,危害網路及資訊安全
英特爾公司開發的自主運作子系統ME(管理引擎),自2008年起被嵌入幾乎所有的英特爾CPU中,是其大力推廣的AMT(主動管理技術)的一部分,允許系統管理員遠端執行任務。只要該功能被激活,無論是否安裝了作業系統,都可以遠端存取計算機,基於光碟機、軟體磁碟機、USB等周邊重新導向技術,能夠實現實體級接觸用戶電腦的效果。硬體安全專家Damien Zammit指出ME是一個後門,可以在作業系統用戶無感的情況下,完全存取記憶體,繞過作業系統防火牆,發送和接收網路封包,並且用戶無法停用ME。基於ME技術實現的英特爾AMT(主動管理技術),曾在2017年被回應欄位為空,實現繞過認證機制,直接登錄系統,獲得最高權限。
2017年8月,俄羅斯安全專家Mark Ermolov和Maxim Goryachy透過逆向技術找到了疑似NSA(美國國家安全局)設置的隱藏開關,該開關位於PCHSTERP0字段中的HAP位,但此次標誌位並沒有在官方文檔中記錄。戲劇性的是,HAP全稱為High Assurance Platform(高保障平台),屬於NSA發起的建構下一代安全防禦體系計畫。
如果NSA透過開啟HAP位元隱藏開關直接關閉ME系統,同時全球其他英特爾CPU都預設運作ME系統,這就相當於NSA可以建構一個只有其自己有防護,其他所有人都在「裸奔」的理想監控環境。這對包括中國在內世界各國的關鍵資訊基礎設施來說,都構成極大安全威脅。目前,ME上的軟硬體是閉源的,其安全保障主要靠英特爾公司的單方面承諾,但事實顯示英特爾的承諾蒼白無力,難以令人信服。使用英特爾產品,為國家安全帶來了嚴重隱患。
5.建議啟動網路安全審查
據報道,英特爾公司500多億美元的全球年收入,近四分之一來自中國市場。 2021年英特爾公司的CPU佔國內桌上型電腦市場約77%,在筆電市場佔約81%;2022年英特爾在中國的x86伺服器市佔率約91%。可以說英特爾在中國賺得盆滿缽滿,但這家公司反而不斷做出損害中國利益、威脅中國國家安全的事。
此前,美政府透過所謂《晶片和科學法案》,對中國半導體產業進行無端排擠和打壓,英特爾公司就是這項法案的最大受益者。英特爾公司執行長帕特∙基辛格成功地將英特爾與美國政府綁定在一起,成為美國晶片戰略的最大合作公司,不僅得到了85億美元的直接補助,還有110億美元的低息貸款。
為討好美國政府,英特爾在所謂涉疆問題上積極站位打壓中國,要求其供應商不得使用任何來自於新疆地區的勞工、採購產品或服務,在其財報中更是將台灣省與中國、美國、新加坡並列,也主動對華為、中興等中國企業斷供停服,這是典型的「端起碗來吃飯,放下碗就砸鍋」。
建議對英特爾在華銷售產品啟動網路安全審查,實際維護中國國家安全和中國消費者的合法權益。
中國網路空間安全協會