繼上周四爆炸性報導Amazon、蘋果購買的美超微公司(Supermicro)伺服器主機板上遭中國植入可開網路後門的微晶片後,周二彭博商業周刊再報導,美國某大電信商的Supermicro及其他伺服器也發現間諜晶片。不過所有電信業者都說受害者不是它們。

報導是引述美國安全公司Sepio Systems共同CEO Yossi Appleboum的報告,表示後者提供了「文件、分析及其他證據」。Appleboum 8月間在為美國一家主要電信商數座資料中心的伺服器進行的掃瞄檢測中,發現其中一台Supermicro伺服器有異常通訊,後續探查發現被植入的東西是位於插在伺服器的乙太網路連接器(connector)上。這個連接器上嵌入的晶片作用是在客戶網路上建立中間傳輸站,他們並在網路上偵測到其他非法電子元件,判斷是安全入侵,隨後通知電信公司的安全部門。

這家電信業者技術人員無法說明受變造的機器上有傳輸過哪些資料。基於Sepio和電信客戶的保密協定,彭博報導中沒有說明是哪一家電信業者。

Appleboum認為產品是在中國工廠製造期間遭到修改。但他指出,除了Supermicro外,還有其他在中國委外生產的伺服器廠商也被動了手腳。「所有人都可能變成受害者」。他說這也突顯中國供應鏈的問題,在中國製造可以下手的地方多到數不清。

Supermicro再一次發出駁斥聲明,該公司表示,Supermicro致力於確保整個製程上的產品完整性,供應鏈安全也是這個產業的重要議題,他們對報導中的非授權元件毫無所悉,也未接獲任何客戶通知說發現此項元件。Supermicro同時表示彭博只透露有限資訊、沒有任何文件以及只給該公司半天時間回應感到詑異。

彭博在報導中向美國主要電信商尋求評論。包括AT&T、Verizon、Sprint都聲明該公司的伺服器未受影響。其他電信商包括Cox 、Comcast、T-Mobile和CenturyLink公司代表也都向Motherboard表示報導中的受害者不是它們。

彭博報導中令人匪夷所思的竊聽手法引發反彈。首先蘋果資訊安全部副總裁George Stathakopoulos周日致函參、眾議院商務委員會表示蘋果已反覆調查報導中指涉的重點,包括該公司自Supermicro採購的伺服器被植入作為中國方面竊密後門的晶片,都沒有發現任何證據。蘋果和Amazon的說法也獲得美國國土安全部的支持。

此外一些科技專家則對報導抱持質疑。一來報導僅有匿名消息來源,並未提供技術文件支持和細節,無法檢測報導真實性。此外,用軟體和韌體層攻擊也可做到竊聽資訊,何以中國要這麼大費周章潛入供應鏈工廠植入晶片,這點也難以解釋


Advertisement

更多 iThome相關內容