彭博社指控中國在超微公司(SuperMicro)芯片中植入間諜芯片的“重磅猛料”今天被狠狠打了臉。
美國時間周一,彭博社文章中少數幾位實名證人之一——硬體安全專家、Hardware Security Resources公司創始人Joe Fitzpatrick接受資訊安全播客“危險生意”(Risky Business)的採訪,公開了他和彭博社記者Jordan Robertson交流的具體細節。根據他的證詞,彭博社的報導嚴重歪曲了他提供的資訊,整篇稿件“根本站不住腳”。
Fitzpatrick與彭博社記者Robertson的通信交流始於去年。起初,記者向Fitzpatrick詢問硬體植入的技術問題,Fitzpatrick通過郵件向記者解釋了相關技術原理及可能的操作方案,但並未提及任何實際應用,事實上這些方案在業內從來沒有落地過。
但令Fitzpatrick震驚的是,彭博社文章中所描述的中國入侵超微公司芯片的手段,竟和他在郵件中向記者介紹的一模一樣。
彭博社報導稱,中國方面通過供應鏈將一種“僅有米粒大小”的間諜芯片植入到超微公司生產的主機板上,借此在應用該主機板的伺服器上創建後門,並盜取資訊。
“這個操作根本不符合邏輯,”Fitzpatrick說,“要黑進伺服器有很多更容易的辦法,可以通過軟體,可以通過韌體,文中描述的手段理論上可行,但是根本不可能大量使用,我不會這麽乾,我知道的任何人都不會這麽乾。”
事實上,Fitzpatrick曾在郵件中明確告知彭博社記者,這種方案只是一種理論上的可能,缺乏實際可操作性,他還特意提醒記者主機板上的“額外零件”可能只是一個正常配件。記者回復稱,有多個信源表示這個“瘋狂的方案”確實存在,但從頭到尾未給出任何圖片或實物證據。
“假如我描述的一種技術可能真的被實現了,還有十幾個人作證,我也太高瞻遠矚了吧。”Fitzpatrick說。
彭博社報導中被廣泛引起質疑的另一個細節,是所謂的間諜芯片究竟長什麽樣。報導發布後不久,就有媒體指出,彭博社配圖上的“芯片”實際上只是一個普通的信號耦合器,一塊錢就能買到。
而Fitzpatrick直接表示,這張“芯片”的圖片,是他提供給記者的。
今年9月,記者Robertson告訴Fitzpatrick,他們已經把目標鎖定到了一種“信號放大器或耦合器”上,並問Fitzpatrick這種元器件長啥樣,於是Fitzpatrick隨手發了個Mouser Electronics公司生產的耦合器圖片給他。報導發布後, Fitzpatrick震驚地發現,文中那枚間諜芯片的圖片,正是他發給記者的那一張。
“這種耦合器通常是用在WiFi和LTE上的,不太可能出現在主機板和伺服器上。” Fitzpatrick說。
這就意味著,彭博方面至少從未見過所謂的“間諜芯片”的真容。
這期播客播出前,主持人Patrick Gray專程致電彭博記者Jordan Robertson,請他對Fitzpatrick的指責做出回應。這位記者很快給出了一個公關味兒十足的回復:不予評論。
彭博社報導發布後即便陷入爭議,幾乎所有相關方都堅決予以否認。亞馬遜、蘋果和超微均發布了言辭激烈、態度明確的公告,蘋果還表示,“彭博在過去一年中多次就此事和我們聯繫,我們每一次都進行了嚴格的內部調查,但從來沒有發現能支持其中任何一個說法的證據”。美國國土安全部(DHS)、英國國家網絡安全中心(National Cyber Security Centre)也分別於10月5日與6日發聲,表示並未發現所謂網絡攻擊的證據。
美國國家安全局尚未就此事公開發言,但此次Joe Fitzpatrick發聲後,美國國家安全局網絡安全部門高級顧問Rob Joyce在推特上轉發了這期播客節目,並表示“請大家認真讀DHS和NCSC的公告”。
香港九龍灣馬來街興發大廈15樓D室