《彭博》早前引述17名消息人士指,30多間美企使用的伺服器底板遭中國蓄意植入「間諜晶片」。亞馬遜、蘋果等科技巨擘發聲明否認,美國土安全部也表示沒理由懷疑企業的說法。惟《彭博》更「加碼」指控,有證據顯示美國一間「主要通訊公司」被植間諜晶片,但有「報料人」批《彭博》斷章取義。
記者:盧沛立
《彭博》刊登長文指,中國解放軍將只有白米般細小的「間諜晶片」植入伺服器底板內,再供應予美國伺服器供應商「超微電腦公司」(Super Micro,下稱超微),然後轉銷世界各地。受影響的企業除了蘋果及亞馬遜等科技巨頭,還包括美國中央情報局、國際太空站、美國海軍等敏感機構的伺服器。
蘋果與亞馬遜均發出聲明否認事件,稱從沒發現有伺服器被植入惡意晶片或其他硬件。亞馬遜更澄清在收購 Elemental 前,曾委託獨立保安公司作調查報告,但無發現任何發現。超微強調,公司重視資訊安全,並有定期對所有合約製造商進行檢查,以確認安全。
間諜晶片疑波及通訊商
英國國家網絡安全中心 (National Cyber Security Centre)表示,沒有理由質疑蘋果和亞馬遜的聲明,該機構也已與安全研究人員接觸,呼籲有可信情報的人士與他們接觸。美國國土安全部也發官方回應,表示認同英國合作夥伴的說法。
《彭博》隨後發表報道反駁,美安全顧問公司Sepio Systems行政總裁Yossi Appleboum提供文件、分析及證據,詳細說明中國情報人員在2013年至2015年,要求在廣州的外判工廠為超微生產的電腦硬件中植入「間諜晶片」。受影響的電訊公司在8月發現問題,並已立即移除問題晶片。
AT&T、威訊無線(Verizon)、斯普林特(Sprint)等電訊商已發聲明稱公司伺服器未受影響。其他電信商如Cox 、Comcast、T-Mobile和CenturyLink的公司代表也已向科技新聞網站Motherboard否認是《彭博》報道提到的受害者。
實名證人批不合邏輯
《彭博》其中一名實名證人,硬件安全專家Joe Fitzpatrick對該報道表示質疑。他表示有關中國入侵超微伺服器的手段,與他在郵件向記者提及的手法一樣,但他僅陳述技術原理,並未提及實際應用。他認為「間諜晶片」操作並不合邏輯,因為有更多簡易、低成本的方式駭入伺服器。至於彭博文章圖片中的「間諜晶片」,他指這種晶片並無計算能力,根本不可能進行攻擊。但他提醒,硬件植入(Hardware implants)技術上可行,就算他個人未見過伺服器遭植入晶片,也不能忽視硬件安全。
至於第二波爆料的Yossi Appleboum接受科技網站STH訪問表示,他不認同《彭博》的報道只針對超微一間公司,認為真正的問題出現在整個供應鏈,而且是嚴重的全球保安問題。他認為應藉此機會提高社會對硬件安全的關注,而非只關注軟件攻擊。
