昨天，彭博商業周刊一篇報道引起軒然大波：包括蘋果、亞馬遜等公司都曾受到了來自中國微芯片的“侵入”。而業內人士表示，這個“微芯片”的作用似乎被放大，并且在淘寶上只需要花1塊錢就能買到。

一顆國產“芯片”，入侵蘋果、亞馬遜？

昨天，彭博商業周刊刊發一篇令人震驚的封面報道《大黑客：中國如何利用微型芯片滲透美國公司》（The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies）。

文章中說，包括蘋果、亞馬遜等公司以及政府安全部門都曾受到了來自中國芯片的“侵入”。彭博商業周刊還把這種通過硬件而非軟件的方式稱為黑魔法，猶如“親眼目睹獨角獸越過彩虹”。

芯片小如鉛筆尖，侵入到30多家公司？

故事首先追溯到三年前。

2015年，亞馬遜開始悄悄評估一家名為Elemental Technologies的初創公司，這項收購為今后的亞馬遜Prime視頻奠定了雛形。

Elemental總部位于俄勒岡州波特蘭市，主要業務是制作用于壓縮海量視頻文件并將其格式化為不同設備的軟件。Elemental的技術用在了2012年倫敦奧運會，并且與國際空間站進行交流，還向中央情報局匯集無人機鏡頭。

彭博商業周刊報道，為了幫助盡職調查，亞馬遜AWS聘請了第三方公司來審查Elemental的安全性，隨即就發現了令人不安的問題：Elemental的主要產品中安裝了用于處理視頻壓縮的服務器，而在測試中發現了一塊比米粒還小的微芯片，它并不是電路板原始設計的一部分。

隨后亞馬遜向美國當局報告了這一發現。而讓情報界感到不寒而栗的是，Elemental的服務器可以在國防部數據中心、CIA的無人機操作以及海軍戰艦的機載網絡中應用。

在經過調查后發現，這些服務器由Super Micro Computer（美超微）為Elemental組裝。

美超微，簡稱Supermicro，是世界上最大的服務器主板供應商之一，被彭博商業周刊稱為硬件界的微軟。不過，這個微芯片也并非是美超微自己生產的。

美超微官網

美超微在加利福尼亞州、荷蘭和中國***擁有裝配設施，但其核心產品——主板幾乎全部由中國的承包商制造。

彭博商業周刊還制作了張圖，詳細介紹了微芯片是如何進入到Elemental的服務器中。

“入侵”一共分五個步驟：

中國黑客微芯片小如削尖的鉛筆尖。其中一些芯片看起來像信號調理耦合器，它們結合了內存、網絡能力和足夠的處理能力來應對攻擊。

這些微芯片被中國工廠放進全球最大服務器主板銷售商美超微（SuperMicro）的主板里。

受損的主板被安裝在由美超微公司組裝的服務器上。

這些遭到破壞的服務器進入了數十家公司運營的數據中心。

當安裝并打開服務器時，微芯片改變了操作系統的核心，使其能夠接受修改。該芯片還可以連接攻擊者控制的計算機，從而尋找指令和代碼。

一位接受采訪的官員表示，調查人員發現它最終影響了近30家公司，包括一家大型銀行、政府承包商和全球最有價值的公司蘋果。

報道稱，蘋果在2015年夏天在美超微的主板上發現了這個惡意芯片，于是在第二年，蘋果公司切斷了與美超微的聯系，結束了合作。

蘋果、亞馬遜、美超微回應：彭博報道有誤

盡管彭博的報道看上去很詳盡，但蘋果和亞馬遜的回應看上去更有說服力，并且回復的非常詳細，逐點否定了彭博的報道。

以下是這三家公司在回應中的一些亮點：

亞馬遜

關于（彭博社報道中提到的）在收購Elemental時，AWS就已經了解供應鏈妥協、惡意芯片問題或硬件修改的說法并非事實。

關于AWS早就發現含有惡意芯片的服務器或基于中國數據中心的修改行為，以及AWS與FBI合作調查有關惡意硬件的數據，也從未發生。

對于與Super Micro相關的任何問題，我們重新審核了當年收購Elemental的相關記錄，包括我們在2015年進行的第三方安全審計，這是我們在收購前進行盡職調查的一部分。

我們沒有發現任何關于惡意芯片或硬件被修改的證據。

蘋果

在過去的一年中，彭博新聞社曾多次與我們聯系，聲稱發現了涉及到Apple的安全事件，有時言辭模糊，有時則描述得比較詳細。每次，我們都會根據他們的詢問進行嚴格的內部調查，但每次我們都沒有找到任何證據來支持他們。根據記錄顯示，我們反復且持續地提供了事實回應，幾乎駁斥了彭博社此次有關蘋果報道的方方面面。

它們的故事與先前報道的2016年事件相混淆，當時我們在其中一個實驗室的單個Super Micro服務器上發現了受感染的驅動程序。這次一次性事件被認定為偶然事件而非針對Apple的針對性攻擊。

……

在此我們可以非常清楚表示：蘋果從未發現任何服務器中被故意植入的惡意芯片，“硬件操縱”或漏洞。蘋果也從未與FBI或任何其他機構就此類事件進行任何聯系。我們不知道FBI進行過任何相關調查，（FBI）也沒有和我們在這方面有過聯系。

美超微

雖然我們會配合任何政府調查，但我們對任何有關這類問題的調查并不知情，也沒有任何政府機構在此方面與我們聯系過。我們也并不知曉有任何客戶放棄美超微作為供應商是因為出現了此類問題。

……

此外，美超微不設計或制造網絡芯片或相關固件，我們以及其他領先的服務器/存儲公司都是從網絡公司巨頭那里采購（網絡芯片或相關固件）。

值得注意的是，這些公司很少這樣做出細節如此豐富、反駁的迅速透徹程度出人意料的反應。當被發現安全漏洞或遭到公眾強烈反對后，它們的大多數聲明只承認這些擔憂的存在，并對消費者隱私作出模糊的承諾。

例如，在Celebgate iCloud漏洞曝光后，其中包括一些名人裸照的泄漏，蘋果的回應是一種輕微的憤怒和對任何安全漏洞的簡單駁斥。

在2014年，亞馬遜發生了一個單獨但同樣具有危害的漏洞：當時研究人員發現，通過Heartbleed漏洞，AWS）上所托管的網站有可能泄露敏感信息，如信用卡號碼。亞馬遜對Heartbleed的回應很簡單：“AWS已經意識到OpenSSL存在HeartBleed漏洞（CVE-2014-0160），我們將調查這一漏洞所造成的影響或者需要修復的地方。當我們了解到更多細節時，我們會有進一步回應。”

但在這次事件中，蘋果和亞馬遜全盤否定了。根據這些公司的回應，沒有任何“侵入”發生，并且他們很久之前就已經告訴過彭博新聞社了。

淘寶只賣1塊5，這個“微芯片”到底是芯片還是電阻？

通常來講，有兩種入侵計算機設備的方法，其中一種被稱為阻截，包括操縱設備，這種方式能在從制造商到客戶的過程進行。根據前國家安全局承包商愛德華·斯諾登泄露的文件，這種方法受到美國間諜機構的青睞。

另一種方法是從一開始就進行植入后門。實現植入意味著要深入了解產品的設計，在工廠中操縱組件，并確保經過篡改的設備通過全球物流鏈到達所需的位置，難度較大。這次Elemental服務器中出現的微芯片就被認為是一種植入。

彭博商業周刊報道中的微芯片

彭博商業周刊稱，看過由第三方安全承包商為亞馬遜做的詳細報告的人以及另一位看過數碼照片和X射線圖像的人說，Elemental服務器上的芯片設計得盡可能不顯眼，這些芯片是灰色或灰白色，它們看起來更像信號調理耦合器，而不是微芯片，因此如果沒有專門的設備，它們不太可能被檢測到。

這里的信號調理耦合器，“目測”與巴倫濾波器應該是同一物體，也是不如一粒米大。在某寶上，巴倫信號調節2.4G藍牙天線濾波器只賣1.5元人民幣。

它有無成為黑客攻擊的潛力？

是有的，但可能需要外星人的技術才能實現。

首先，濾波器能夠通過射頻天線劫持藍牙甚至Wi-Fi，但前提是需要足夠的電力，這個不如一粒米大的設備是否能夠儲存足夠多的電力，現在人類的技術恐怕很難做到。

其次，這么小的尺寸，很難儲存代碼。盡管彭博商業周刊也提到，“它們所包含的代碼量也很小，但它們能告訴（被植入的）設備與互聯網上其他地方的幾臺匿名計算機之一進行通信，這些計算機裝載了更復雜的代碼，并準許設備的操作系統接受這個新代碼”。

但是，這個微芯片無法插入邏輯，即沒有CPU這種關鍵東西，要實現聯網并傳輸、改變代碼的能力可能性等于零，除非是外星人的技術。

一位芯片從業十多年的人士告訴新智元，比米粒還小的芯片只能是電阻，這篇報道“大概率是假的”。

“另外，多出一顆芯片也太扯了，要攻擊也是更換芯片更容易。”

科技股遭殃：美超微、聯想暴跌

彭博商業周刊的報道出來后，直接導致Supermicro的股票暴跌，周四股價下跌超過53％，至每股9.95美元，跌幅超過周三末價值的一半。

報道還引起了連鎖反應，蘋果和亞馬遜的股票在報道發布時均下跌超過1％。

中國最大的個人電腦制造商聯想在香港交易中跌幅高達23％，為2009年1月以來的最大跌幅。

與此同時，彭博的報道也引起了爭議。

防毒和網絡安全公司F-Secure的硬件安全負責人Andrea Barisani說，“如果真的有什么的話，（這篇報道）也只有官方否認的故事，（報道的故事）缺乏技術細節并不真正有利于從技術角度得出的結論。”

The Verge也在報道中認為，彭博與被報道的幾家公司激烈且肯定的言論正在引導國家安全專家質疑誰才是在講真話。如果彭博商業周刊的故事被核實確有其事，亞馬遜和蘋果似乎在說謊并試圖令潛在的國家安全風險被人忽視。

到底誰在撒謊現在還沒結論。