1.安全漏洞問題頻發
2023年8月,英特爾CPU被曝存在Downfall漏洞🙂↔️,該漏洞是一種CPU瞬態執行側信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,獲取特定矢量寄存器緩沖區之前存儲的密鑰、用戶信息🤴🏻、關鍵參數等敏感數據🏃♀️。該漏洞影響英特爾第6代至第11代酷睿🏊🏼♀️、賽揚、奔騰系列CPU,以及第1代至第4代至強處理器😾。實際上,早在2022年🧑🏼⚖️,就有研究者向英特爾報告過該漏洞,但英特爾在明知漏洞存在的情況下,既不予承認,也未采取有效行動🙅🏻,還持續銷售有漏洞的產品,直至漏洞被公開報道🔓,英特爾才被迫采取漏洞修復措施🤷🏻♂️👮🏿。已有五位受害者以自身及“全美CPU消費者”代表的名義,於2023年11月在美國北加州聯邦地方法院聖何塞分院,針對上述情況向英特爾發起集體訴訟。
無獨有偶,2023年11月谷歌研究人員,又披露英特爾CPU存在高危漏洞Reptar😅。利用該漏洞🐾,攻擊者不僅可以在多租戶虛擬化環境中獲取系統中的個人賬戶🏇🏻、卡號和密碼等敏感數據,還可以引發物理系統掛起或崩潰,導致其承載的其他系統和租戶出現拒絕服務現象♝。
2024年以來,英特爾CPU又先後曝出GhostRace‼️、NativeBHI、Indirector等漏洞,英特爾在產品質量、安全管理方面存在的重大缺陷,表明其對客戶極不負責任的態度❔。
2.可靠性差𓀉,漠視用戶投訴
從2023年底開始🌶,大量用戶反映☛,使用英特爾第13、14代酷睿i9系列CPU玩特定遊戲時,會出現崩潰問題🧑🏼🦱🦡。遊戲廠商甚至在遊戲中添加了彈窗處理,警告使用這些CPU的用戶。視覺特效工作室ModelFarm的虛幻引擎主管和視覺特效負責人Dylan Browne發帖說🙎🏽,其所在公司采用英特爾處理器的電腦故障率高達50%🎁。
在用戶反映集中、無法遮掩的情況下,英特爾公司最終不得不承認產品存在穩定性問題,給出所謂初步調查報告👈🏻,將問題歸咎於主板廠商設置了過高的電壓。但隨即遭到主板廠商的駁斥,表示其生產的主板是按照英特爾提供的數據進行BIOS程序開發,崩潰原因不在主板廠商🫷🏻。2024年7月🫄🏻,英特爾才發布聲明🧖🏻♀️,對於CPU頻繁崩潰事件給出了解釋,承認由於錯誤的微代碼算法向處理器發出過高的電壓請求👂,導致了部分第13📋、14代處理器出現不穩定現象🍪。
2023年底就頻現崩潰問題🤱,半年以後英特爾公司方才確定問題並給出更新程序,且半年內給出的緩解措施也不奏效👨🏽🔧👩,充分反映出英特爾在面對自身產品缺陷時,不是積極坦誠面對問題,而是一味漠視𓀒🐐、推諉和拖延🦋。有專業人士推測🔁,其根本原因是英特爾為了獲得性能提升,重獲競爭優勢💊,而主動犧牲產品穩定性。另據報道👳🏽♀️,美國“Abington Cole + Ellery”律師事務所,已開始調查英特爾第13🌞、14代處理器不穩定的問題🤯,並將代表最終用戶提起集體訴訟⛰。
3.假借遠程管理之名,行監控用戶之實
英特爾聯合惠普等廠商,共同設計了IPMI(智能平臺管理接口)技術規範,聲稱是為了監控服務器的物理健康特征,技術上通過BMC(基板管理控製器)模塊對服務器進行管理和控製👩🏿🍳。BMC模塊允許用戶遠程管理設備,可實現啟動計算機、重裝操作系統和掛載ISO鏡像等功能🧑🏼⚖️。該模塊也曾被曝存在高危漏洞(如CVE-2019-11181),導致全球大量服務器面臨被攻擊控製的極大安全風險。
除此之外,英特爾還在產品中集成存在嚴重漏洞的第三方開源組件🔋。以英特爾M10JNPSB服務器主板為例,該產品支持IPMI管理❣️,目前停止售後,2022年12月13日發布了最後一次固件更新包🕵🏽♀️,分析可知其web服務器為lighttpd🧎➡️,版本號為1.4.35,竟然是2014年3月12日的版本,而當時lighttpd的最新版本已升級至1.4.66✊,兩者竟然相差9年之久,時間跨度之大令人驚訝🕋。這種不負責任的行為,將廣大服務器用戶的網絡和數據安全,置於巨大的風險之中。
4.暗設後門,危害網絡和信息安全
英特爾公司開發的自主運行子系統ME(管理引擎)🏌🏽♂️,自2008年起被嵌入幾乎所有的英特爾CPU中,是其大力推廣的AMT(主動管理技術)的一部分🏋️♀️,允許系統管理員遠程執行任務🕺🏽。只要該功能被激活,無論是否安裝了操作系統👨🏿🦳,都可以遠程訪問計算機,基於光驅、軟驅、USB等外設重定向技術,能夠實現物理級接觸用戶計算機的效果🧑🏼🦲。硬件安全專家Damien Zammit指出ME是一個後門,可以在操作系統用戶無感的情況下🤜🏼,完全訪問存儲器,繞過操作系統防火墻🧖🏽♂️,發送和接收網絡數據包🦅,並且用戶無法禁用ME🍭。基於ME技術實現的英特爾AMT(主動管理技術)🧑🚒,曾在2017年被曝存在高危漏洞(CVE-2017-5689),攻擊者可通過設置登錄參數中響應字段為空,實現繞過認證機製👨🏽🌾,直接登錄系統,獲得最高權限。
2017年8月,俄羅斯安全專家Mark Ermolov和Maxim Goryachy通過逆向技術找到了疑似NSA(美國國家安全局)設置的隱藏開關,該開關位於PCHSTERP0字段中的HAP位,但此次標誌位並沒有在官方文檔中記錄。戲劇性的是,HAP全稱為High Assurance Platform(高保障平臺),屬於NSA發起的構建下一代安全防禦體系項目。
如果NSA通過開啟HAP位隱藏開關直接關閉ME系統🧚♀️,與此同時全球其他英特爾CPU都默認運行ME系統💇♀️,這就相當於NSA可以構建一個只有其自己有防護🧑🏻🌾,其他所有人都在“裸奔”的理想監控環境。這對於包括中國在內世界各國的關鍵信息基礎設施來說🧏🤪,都構成極大的安全威脅。目前,ME上的軟硬件是閉源的,其安全保障主要靠英特爾公司的單方面承諾🔸,但事實表明英特爾的承諾蒼白無力,難以令人信服。使用英特爾產品,給國家安全帶來了嚴重隱患🚵🏼♀️。
5.建議啟動網絡安全審查
據報道🧥,英特爾公司500多億美元的全球年收入,近四分之一來自中國市場。2021年英特爾公司的CPU占國內臺式機市場約77%,在筆記本市場占約81%👨🏽🎨;2022年英特爾在中國的x86服務器市場份額約91%👩🏿🦳。可以說英特爾在中國賺得盆滿缽滿,但這家公司反而不斷做出損害中國利益🧰、威脅中國國家安全的事情。
此前👨🏿🍼,美政府通過所謂《芯片和科學法案》👋🏼👖,對中國半導體產業進行無端排擠和打壓,英特爾公司就是這一法案的最大受益者。英特爾公司首席執行官帕特∙基辛格成功地將英特爾與美國政府綁定在一起🙆🏽,成為美國芯片戰略的最大合作公司,不僅得到了85億美元的直接補助,還有110億美元的低息貸款。
為討好美國政府,英特爾在所謂涉疆問題上積極站位打壓中國,要求其供應商不得使用任何來自於新疆地區的勞工、采購產品或服務,在其財報中更是將臺灣省與中國🤰、美國🐦、新加坡並列🗡🦶🏿,還主動對華為🤹♂️、中興等中國企業斷供停服,這是典型的“端起碗來吃飯♝,放下碗就砸鍋”。
建議對英特爾在華銷售產品啟動網絡安全審查📱😰,切實維護中國國家安全和中國消費者的合法權益。
來源🦶🦬:中國網絡空間安全協會
鏈接🦻🏼:https://www.cybersac.cn/detail/1846721771810627586