《彭博》指中國生產線加入「間諜晶片」，到底是否可信？

在10月4日，《彭博商業周刊》（Bloomberg Bussinessweek）刊出爆炸性長篇報道，指中國政府從硬件生產線上下手，為資訊科技公司Supermicro生產的伺服器中放置晶片，以入侵使用其伺服器的美國公司，包括亞馬遜（Amazon）及蘋果（Apple）等。

撰寫報道的記者羅拔臣（ Jordan Robertson）及懷利（Michael Riley）在文中引述了17個消息來源，全部要求匿名，根據報道內容，這17人包括︰

• 6名現任及過去的高級國家安全官員
• 2名亞馬遜網絡服務（AWS）員工
• 3名蘋果員工，以及
• 另外6名美國官員（其中4人稱蘋果亦是受害者）

以《彭博》這樣的大媒體，似乎不太可能在毫無證據下作出如此嚴重的指控——報道刊出後Supermicro股價大跌超過4成——然而報道中涉及的公司均強烈否認指控，甚至反擊指報道失實。

5天後，《彭博》刊出另一篇報道，引述安全專家阿普鲍姆（Yossi Appleboum）指美國某家大型電訊商遭中國以類似方式入侵，不過今次以植入系統的以太網絡連接器，跟第一篇報道有分別。

Photo Credit: Wang Lei / Xinhua Press / Corbis / 達志影像

面對質疑下，《彭博》發言人堅持報道正確。而蘋果向美國國會解釋事件的信中，仍然明確否認報道。美國國土安全部及英國的國家數碼安全機構均表示，沒有理由懷疑有關公司的說法。

雙方各執一詞，到底誰更可信？

《彭博》報道的後門晶片

首先簡單講述一下《彭博》報道中的指控。根據報道內容，有三家製造商為Supermicro生產主機板，兩家在台灣，一家在上海，當這些供應商收到太多訂單時，或會把部分工作外判至分包商。美國情報機關調查入侵晶片時，發現源頭來自其中4個為Supermicro生產主機板最少兩年的工廠。

《彭博》引述兩名官員表示，主機板找到的晶片來自中國解放軍其中一個專門負責「硬件入侵」的單位，放置上去的晶片並不顯眼，看起來像訊號調理耦合器（signal conditioning coupler）。

根據報道，植入主機板的晶片能夠操縱核心運作指令，當數據經過主機板時指示伺服器怎樣做，而且晶片能夠修改這些資訊，加入自己的程式碼，或改變CPU要執行的指令次序。報道又指這晶片連接基板管理控制器（baseboard management controller, BMC），後者讓系統管理員能遙控登入有問題的伺服器，並在當機甚至關機的情況下存取程式碼。

因此植入晶片後，攻擊者能夠要求裝置跟某部網絡上的電腦通訊，並讓系統接受從此電腦下載的程式碼——只要能夠做到這一點，植入的晶片便可以為所欲為，例如盜取加密通訊所用的密鑰、阻止保障系統的安全更新、加入後門等等。

但生產的工廠需要按設計圖製作主機板，而《彭博》報道指，根據美國當局的調查，首先會有自稱代表Supermicro或跟政府有聯繫的人聯絡工廠經理，要求更改主機板設計，通常先提供賄款，不成功的話便以檢查及關閉工場要脅，達成協議後再運送晶片到工廠。

技術上可行嗎？

假如《彭博》的報道屬實，就代表美國公司有極為嚴重的安全漏洞，然而整篇報道均依賴匿名消息來源，未能提供任何可以查核的證據。另一方面，如果這塊晶片根本不存在，以《彭博》這種大型媒體，似乎不太可能出現如此嚴重的錯誤。因此目前沒有人能夠確定到底誰是誰非，不過我們可以從幾方面去了解今次事件。

首先，我們可以先看這種攻擊方式理論上是否做得到。《彭博》報道中引述過的專家費茲柏齊克（Joe FitzPatrick）認為，報道描述的攻擊方式技術上有可能。

劍橋大學專研硬件及平台安全的研究員馬奇托斯（A. Theodore Markettos）亦分析了透過BMC攻擊的方式，指出在BMC安裝韌體（firmware）無需認證，的確能夠修改。他認為《彭博》描述的攻擊初步看來有可能做到。

Image Credit: Bloomberg

科技作者麥卡菲（Kieren McCarthy）在《The Register》的長篇分析中提到，假如《彭博》的「鉛筆尖晶片配圖」（上圖）是真的話，那個裝置就非常細小，需要頂尖的半導體技術才能儲存足夠數據。另一個可能則是《彭博》那張純粹是示意圖，未有按實物大小呈現晶片——而這比較可能，因為報道中記者僅引述看過照片的消息來源稱晶片比鉛筆尖更小，但未有提到記者看過晶片或其照片。

當然，技術上做得到不代表《彭博》的報道可信（有關這一點下文會再詳述）。

蘋果及亞馬遜的反駁可信嗎？

報道中被點名的蘋果、亞馬遜以及Supermicro三家公司，均發表聲明反駁，稱報道失實。蘋果向《CNBC》表示，在2016年他們發現實驗室中有一部Supermicro的伺服器受感染，調查後發現事件源於從受感染的驅動程式，而且調查結果認為事件純屬意外，並非針對蘋果的攻擊，更指《彭博》可能誤會了這件事。

表面看來，我們應該對這些公司的聲明抱有懷疑——畢竟伺服器遭植入晶片不是甚麼好消息，承認的話會違反三家公司利益，而且是次報道涉及國家安全的機密調查。

必須注意的是，三家均是上市公司，不能公開發放虛假消息，否則會面臨監管機構嚴重處分——看看馬斯克（Elon Musk）聲稱要把特斯拉（Tesla）私有化的Twitter發文便知道。一般來說，如果上市公司被揭發醜聞、負面消息而不想承認的話，需要小心選取字眼來否認，以便日後能夠解釋用詞。不過今次三家公司的否認不但沒有含糊其詞，更明確否認報道中的指控。

Photo Credit: Abhishek N. Chinnappa / REUTERS / 達志影像