中国一米粒大小的芯片，能入侵美国 30 多家公司？

　　美国有关媒体北京时间 10 月 5 日发布了一篇题为：“中国用一个米粒大小的芯片，入侵了美国 30 多家公司”的文章。

　　该报道称，亚马逊在 2015 年准备收购视频压缩技术公司 Elemental Technologies，该公司曾经为 CIA 的无人机视频传输提供了视频压缩技术，在评估阶段亚马逊雇佣了第三方公司检查其安全，在发现了一些令人不安的安全问题之后，Elemental 将其处理视频压缩的服务器打包送到第三方安全公司去详细检查。安全测试人员在主板上发现了原始设计所没有的米粒大小的芯片。调查人员发现芯片是在中国子承包商组装时植入进去的。

　　这些主板都属于美国超微公司（Supermicro），超微是世界最大的服务器主板供应商之一，该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器，但在主板上发现恶意芯片之后苹果与超微终止了合作。亚马逊 AWS 此前在中国建立了数据中心，大量使用了超微的主板，在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查，发现了更多设计巧妙的恶意芯片，AWS 最终将整个中国数据中心都出售给了中国公司。

　　报道称，这些芯片是中国军方设计的，部分芯片的外形类似信号调节耦合器，集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后，它会修改操作系统内核，使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。在报道了硬件供应链攻击之后，《彭博商业周刊》又报道了软件方面的供应链攻击。

　　报道援引“知情人士”的消息称，超微公司（Supermicro）提供关键固件更新的在线入口 2015 年被来自中国的攻击者入侵，攻击者修改了服务器主板网卡的固件，允许其能悄悄控制服务器的通信。有至少两家客户下载了修改过的固件，其中一家是 Facebook。Facebook 证实有此事，但表示它只购买了少量超微硬件用于实验室的测试，没有用于产品。苹果否认它遭遇了服务器恶意芯片攻击，但承认遭遇过软件供应链攻击，事故发生在 2016 年，只影响实验室里的一台 Windows 服务器。苹果称这是它与超微终止合作的原因，否认恶意芯片是它与超微切断合作的原因。

　　中美两国的吃瓜网友，都对该媒体的报道存在较大的疑问，主要是因为该媒体报道中所有的关于这个芯片的信息都来自于“匿名”信源。那么与目前苹果和亚马逊公司公开的强烈否认相比，很多美国吃瓜网友就认为这反而令该媒体的报道看起来更缺乏可信度。

　　但该媒体的记者坚称他们的报道来自17个不同的信源，而且只是因为案件太过敏感才将他们匿名处理。

　　苹果公司则在其官网发布声明，几乎对该报道的每个方面都予以驳斥：“公司从未在任何服务器中发现蓄意植入的恶意芯片、‘硬件操纵’或漏洞。”

　　此声明对媒体报道文章的多处细节予以驳斥，比如报道称苹果向 FBI 报告了这一发现，但苹果方面回应从未与 FBI 或其他机构对此类事件进行过接触。此外，回应细节还包括：Siri 和 Topsy 从未共享服务器；Siri 也并没有被部署在 Supermicro 销售给我们的服务器上；Topsy 记录的数据仅限于 2000 台 Supermicro 服务器，而不是 7000 台，并且这些服务器均没有被发现装有恶意芯片。

　　亚马逊公司也表示：“在任何时候，过去或现在，我们都没有在任何 Elemental 或亚马逊系统的 Supermicro 主板中发现与修改的硬件或恶意芯片有关的任何问题。我们也没有与政府进行调查。”