10月16日消息,,今日,,“中國網(wǎng)絡(luò)空間安全協(xié)會”發(fā)布《漏洞頻發(fā),、故障率高 應(yīng)系統(tǒng)排查英特爾產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險》,。
文內(nèi)指出英特爾產(chǎn)品安全漏洞問題頻發(fā),;可靠性差,,漠視用戶投訴,;假借遠程管理之名,,行監(jiān)控用戶之實;暗設(shè)后門,,危害網(wǎng)絡(luò)和信息安全等,,建議對英特爾在華銷售產(chǎn)品啟動網(wǎng)絡(luò)安全審查。
早在2023年8月,,英特爾CPU被曝存在Downfall漏洞,,11月谷歌研究人員又披露英特爾CPU存在高危漏洞Reptar。且自2023年底開始,,大量用戶反映使用英特爾第13,、14代酷睿i9系列CPU玩特定游戲時,會出現(xiàn)崩潰問題,,2024年7月,,間隔半年之久,英特爾才發(fā)布聲明,,對于CPU頻繁崩潰事件給出了解釋,,但給出的緩解措施并不奏效。
據(jù)報道,,英特爾公司500多億美元的全球年收入,,近四分之一來自中國市場。但為討好美國政府,,英特爾在所謂涉疆問題上積極站位打壓中國,,還主動對華為、中興等中國企業(yè)斷供停服,。英特爾在中國賺得盆滿缽滿,,卻不斷做出損害中國利益,、威脅中國國家安全的事情。
基于以上內(nèi)容,,中國網(wǎng)絡(luò)空間安全協(xié)會建議對英特爾在華銷售產(chǎn)品啟動網(wǎng)絡(luò)安全審查,,切實維護中國國家安全和中國消費者的合法權(quán)益。
以下為“中國網(wǎng)絡(luò)空間安全協(xié)會”原文內(nèi)容:
漏洞頻發(fā),、故障率高 應(yīng)系統(tǒng)排查英特爾產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險
1.安全漏洞問題頻發(fā)
2023年8月,,英特爾CPU被曝存在Downfall漏洞,該漏洞是一種CPU瞬態(tài)執(zhí)行側(cè)信道漏洞,,利用其AVX2或者AVX-512指令集中的Gather指令,,獲取特定矢量寄存器緩沖區(qū)之前存儲的密鑰、用戶信息,、關(guān)鍵參數(shù)等敏感數(shù)據(jù),。該漏洞影響英特爾第6代至第11代酷睿、賽揚,、奔騰系列CPU,,以及第1代至第4代至強處理器。實際上,,早在2022年,,就有研究者向英特爾報告過該漏洞,但英特爾在明知漏洞存在的情況下,,既不予承認,,也未采取有效行動,還持續(xù)銷售有漏洞的產(chǎn)品,,直至漏洞被公開報道,,英特爾才被迫采取漏洞修復(fù)措施。已有五位受害者以自身及“全美CPU消費者”代表的名義,,于2023年11月在美國北加州聯(lián)邦地方法院圣何塞分院,,針對上述情況向英特爾發(fā)起集體訴訟。
無獨有偶,,2023年11月谷歌研究人員,又披露英特爾CPU存在高危漏洞Reptar,。利用該漏洞,,攻擊者不僅可以在多租戶虛擬化環(huán)境中獲取系統(tǒng)中的個人賬戶、卡號和密碼等敏感數(shù)據(jù),,還可以引發(fā)物理系統(tǒng)掛起或崩潰,,導(dǎo)致其承載的其他系統(tǒng)和租戶出現(xiàn)拒絕服務(wù)現(xiàn)象。
2024年以來,,英特爾CPU又先后曝出GhostRace,、NativeBHI,、Indirector等漏洞,英特爾在產(chǎn)品質(zhì)量,、安全管理方面存在的重大缺陷,,表明其對客戶極不負責(zé)任的態(tài)度。
2.可靠性差,,漠視用戶投訴
從2023年底開始,,大量用戶反映,使用英特爾第13,、14代酷睿i9系列CPU玩特定游戲時,,會出現(xiàn)崩潰問題。游戲廠商甚至在游戲中添加了彈窗處理,,警告使用這些CPU的用戶,。視覺特效工作室ModelFarm的虛幻引擎主管和視覺特效負責(zé)人Dylan Browne發(fā)帖說,其所在公司采用英特爾處理器的電腦故障率高達50%,。
在用戶反映集中,、無法遮掩的情況下,英特爾公司最終不得不承認產(chǎn)品存在穩(wěn)定性問題,,給出所謂初步調(diào)查報告,,將問題歸咎于主板廠商設(shè)置了過高的電壓。但隨即遭到主板廠商的駁斥,,表示其生產(chǎn)的主板是按照英特爾提供的數(shù)據(jù)進行BIOS程序開發(fā),,崩潰原因不在主板廠商。2024年7月,,英特爾才發(fā)布聲明,,對于CPU頻繁崩潰事件給出了解釋,承認由于錯誤的微代碼算法向處理器發(fā)出過高的電壓請求,,導(dǎo)致了部分第13,、14代處理器出現(xiàn)不穩(wěn)定現(xiàn)象。
2023年底就頻現(xiàn)崩潰問題,,半年以后英特爾公司方才確定問題并給出更新程序,,且半年內(nèi)給出的緩解措施也不奏效,充分反映出英特爾在面對自身產(chǎn)品缺陷時,,不是積極坦誠面對問題,,而是一味漠視、推諉和拖延,。有專業(yè)人士推測,,其根本原因是英特爾為了獲得性能提升,重獲競爭優(yōu)勢,,而主動犧牲產(chǎn)品穩(wěn)定性,。另據(jù)報道,,美國“Abington Cole + Ellery”律師事務(wù)所,已開始調(diào)查英特爾第13,、14代處理器不穩(wěn)定的問題,,并將代表最終用戶提起集體訴訟。
3.假借遠程管理之名,,行監(jiān)控用戶之實
英特爾聯(lián)合惠普等廠商,,共同設(shè)計了IPMI(智能平臺管理接口)技術(shù)規(guī)范,聲稱是為了監(jiān)控服務(wù)器的物理健康特征,,技術(shù)上通過BMC(基板管理控制器)模塊對服務(wù)器進行管理和控制,。BMC模塊允許用戶遠程管理設(shè)備,可實現(xiàn)啟動計算機,、重裝操作系統(tǒng)和掛載ISO鏡像等功能,。該模塊也曾被曝存在高危漏洞(如CVE-2019-11181),導(dǎo)致全球大量服務(wù)器面臨被攻擊控制的極大安全風(fēng)險,。
除此之外,,英特爾還在產(chǎn)品中集成存在嚴重漏洞的第三方開源組件。以英特爾M10JNPSB服務(wù)器主板為例,,該產(chǎn)品支持IPMI管理,,目前停止售后,2022年12月13日發(fā)布了最后一次固件更新包,,分析可知其web服務(wù)器為lighttpd,,版本號為1.4.35,竟然是2014年3月12日的版本,,而當(dāng)時lighttpd的最新版本已升級至1.4.66,,兩者竟然相差9年之久,時間跨度之大令人驚訝,。這種不負責(zé)任的行為,,將廣大服務(wù)器用戶的網(wǎng)絡(luò)和數(shù)據(jù)安全,置于巨大的風(fēng)險之中,。
4.暗設(shè)后門,,危害網(wǎng)絡(luò)和信息安全
英特爾公司開發(fā)的自主運行子系統(tǒng)ME(管理引擎),自2008年起被嵌入幾乎所有的英特爾CPU中,,是其大力推廣的AMT(主動管理技術(shù))的一部分,,允許系統(tǒng)管理員遠程執(zhí)行任務(wù)。只要該功能被激活,,無論是否安裝了操作系統(tǒng),都可以遠程訪問計算機,,基于光驅(qū),、軟驅(qū),、USB等外設(shè)重定向技術(shù),能夠?qū)崿F(xiàn)物理級接觸用戶計算機的效果,。硬件安全專家Damien Zammit指出ME是一個后門,,可以在操作系統(tǒng)用戶無感的情況下,完全訪問存儲器,,繞過操作系統(tǒng)防火墻,,發(fā)送和接收網(wǎng)絡(luò)數(shù)據(jù)包,并且用戶無法禁用ME,?;贛E技術(shù)實現(xiàn)的英特爾AMT(主動管理技術(shù)),曾在2017年被曝存在高危漏洞(CVE-2017-5689),,攻擊者可通過設(shè)置登錄參數(shù)中響應(yīng)字段為空,,實現(xiàn)繞過認證機制,直接登錄系統(tǒng),,獲得最高權(quán)限,。
2017年8月,俄羅斯安全專家Mark Ermolov和Maxim Goryachy通過逆向技術(shù)找到了疑似NSA(美國國家安全局)設(shè)置的隱藏開關(guān),,該開關(guān)位于PCHSTERP0字段中的HAP位,,但此次標(biāo)志位并沒有在官方文檔中記錄。戲劇性的是,,HAP全稱為High Assurance Platform(高保障平臺),,屬于NSA發(fā)起的構(gòu)建下一代安全防御體系項目。
如果NSA通過開啟HAP位隱藏開關(guān)直接關(guān)閉ME系統(tǒng),,與此同時全球其他英特爾CPU都默認運行ME系統(tǒng),,這就相當(dāng)于NSA可以構(gòu)建一個只有其自己有防護,其他所有人都在“裸奔”的理想監(jiān)控環(huán)境,。這對于包括中國在內(nèi)世界各國的關(guān)鍵信息基礎(chǔ)設(shè)施來說,,都構(gòu)成極大的安全威脅。目前,,ME上的軟硬件是閉源的,,其安全保障主要靠英特爾公司的單方面承諾,但事實表明英特爾的承諾蒼白無力,,難以令人信服,。使用英特爾產(chǎn)品,給國家安全帶來了嚴重隱患,。
5.建議啟動網(wǎng)絡(luò)安全審查
據(jù)報道,,英特爾公司500多億美元的全球年收入,近四分之一來自中國市場。2021年英特爾公司的CPU占國內(nèi)臺式機市場約77%,,在筆記本市場占約81%,;2022年英特爾在中國的x86服務(wù)器市場份額約91%??梢哉f英特爾在中國賺得盆滿缽滿,,但這家公司反而不斷做出損害中國利益、威脅中國國家安全的事情,。
此前,,美政府通過所謂《芯片和科學(xué)法案》,對中國半導(dǎo)體產(chǎn)業(yè)進行無端排擠和打壓,,英特爾公司就是這一法案的最大受益者,。英特爾公司首席執(zhí)行官帕特 基辛格成功地將英特爾與美國政府綁定在一起,成為美國芯片戰(zhàn)略的最大合作公司,,不僅得到了85億美元的直接補助,,還有110億美元的低息貸款。
為討好美國政府,,英特爾在所謂涉疆問題上積極站位打壓中國,,要求其供應(yīng)商不得使用任何來自于新疆地區(qū)的勞工、采購產(chǎn)品或服務(wù),,在其財報中更是將臺灣省與中國,、美國、新加坡并列,,還主動對華為,、中興等中國企業(yè)斷供停服,這是典型的“端起碗來吃飯,,放下碗就砸鍋”,。
建議對英特爾在華銷售產(chǎn)品啟動網(wǎng)絡(luò)安全審查,切實維護中國國家安全和中國消費者的合法權(quán)益,。