上周,彭博社披露了包括亚马逊和苹果在内的约 30 家公司的服务器中存在源自中国的微型间谍芯片,给人留下了深刻的印象。这非凡黑客通过影响 Supermicro(一家在中国生产其产品的加州公司)主板的生产,就有可能实现这一目标。
这一令人难以置信的独家新闻引起了IT行业的震动。但人们开始对这个故事的真实性产生怀疑。苹果公司毫不拐弯抹角地极力否认了这篇文章的内容。“苹果从未发现任何恶意芯片、硬件操纵或故意插入服务器的漏洞。苹果从未就此类事件与联邦调查局或任何其他机构进行过任何联系。我们不知道任何联邦调查局的调查,也不知道我们的执法部门的联系人。”,我们可以读入公报。
苹果公司证实不知道任何事情
本周日,该公司通过负责安全的副总裁乔治·斯塔萨科普洛斯(George Stathakopoulos)进一步阐述了这一点。“Apple 的专有安全工具会不断寻找此类出站流量,因为它表明存在恶意软件或其他恶意活动。什么也没找到”,他在一篇文章中写道致国会的信,并补充说他可以就此事接受采访。
新的:#苹果前总法律顾问告诉我,他去年向联邦调查局总法律顾问询问了涉嫌调查受污染芯片的问题。联邦调查局的高级律师说:“这里没有人知道这个故事是关于什么的。”https://t.co/NuaynJFNbr
— 约瑟夫·门 (@josephmenn)2018 年 10 月 5 日
苹果的地位得到了国家安全机构国土安全部 (DHS) 的强化。“与我们的英国合作伙伴国家网络安全中心一样,我们现阶段没有理由怀疑本文引用的公司的声明”,我们可以读入公报。然而,如果有一个机构应该意识到影响了大约 30 家美国公司的黑客攻击,那就是国土安全部。
显然,所有这些演员可能都有义务隐瞒真相。如果联邦调查局所谓的调查属于机密,这些公司可能会收到法律禁令(“国家安全信”),迫使它们保持沉默。这也是爱德华·斯诺登爆料时发生的事情:网络巨头纷纷发表否认声明,与举报人发布的文件相矛盾。然而,苹果公司在否认中明确表示,它不承担任何沉默义务。
文章中的缺陷
面对这些否认,布隆伯格立场坚定。但越来越多的人指出他文章中的缺陷。当然,调查是基于17个消息来源,但他们都是匿名的。此外,没有任何文件证实记者的指控。文章谈到了一份分析报告,证明亚马逊服务器中存在这种芯片,但这份报告并没有被记者直接看到,只有一位消息人士看到。也没有著名芯片的真实照片。文本随附的所有插图均为信息图表或摄影创作。
一些安全专家还确定了文章中多次出现的著名芯片。这是一个六足耦合滤波器。乔·菲茨表示,理论上可以使用这种材料插入间谍设备。但他认为这不太可能,因为根据他的说法,这些组件在主板上从来没有找到。
Hector 和其他人已经确定了彭博文章中用于代表硬件植入的组件。我想分享一下我对这是否现实可行的看法:https://t.co/fPsuETfFDh
— 乔·菲茨 (@securelyfitz)2018 年 10 月 5 日
面对所有这些不一致的情况,一些人怀疑彭博社是否被灌输了虚假故事。记者金泽特则认为,这篇文章毫无疑问是真实的,但作者可能对某些信息进行了过多的推断,导致他们得出了某些仓促的结论。但话又说回来,对于像彭博社这样的新闻机构来说,这仍然是非常令人惊讶的。
我不认为彭博社的故事是编造的。我认为,鉴于苹果/亚马逊的强烈否认,也许有人发现了间谍芯片或被植入的证据,但这些公司却没有。更有可能的是,将这些点联系起来的消息来源弄错了,或者彭博社把它们联系错了https://t.co/Do2pMwd37Q
— 金·泽特 (@KimZetter)2018 年 10 月 5 日
