汇集全球半导体产业最新资讯 技术前沿、发展趋势!
10月16日,中国网络空间安全协会(以下简称“网空协会”)发布了一篇针对英特尔公司的文章,列举了该公司存在的一系列问题,并建议对英特尔在华销售的产品启动网络安全审查。
网空协会指出,英特尔公司近年来安全漏洞问题频发,给用户带来了极大的安全隐患。例如,2023年8月曝出的Downfall漏洞影响了英特尔的多代酷睿、赛扬、奔腾系列CPU以及至强处理器。进入2024年,GhostRace、NativeBHI、Indirector等漏洞又相继被曝出,显示出英特尔在产品质量和安全管理方面存在重大缺陷。
此外,网空协会还提到,英特尔产品的可靠性较差,且对用户投诉漠视。例如,从2023年底开始,英特尔CPU就频现崩溃问题,但公司直到半年后才确定问题并给出更新程序,且之前提供的缓解措施并未奏效。
更令人担忧的是,网空协会指出,英特尔假借远程管理之名,实则进行用户监控。英特尔与惠普等厂商共同设计的IPMI技术规范,虽然声称是为了监控服务器的物理健康特征,但其中的BMC模块却允许用户远程管理设备,甚至可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块曾被曝存在高危漏洞,导致全球大量服务器面临被攻击控制的巨大安全风险。
除了上述问题,网空协会还揭露了英特尔在产品中集成存在严重漏洞的第三方开源组件,以及暗设后门、危害网络和信息安全的行为。英特尔开发的自主运行子系统ME(管理引擎)自2008年起被嵌入几乎所有的英特尔CPU中,允许系统管理员远程执行任务。然而,硬件安全专家指出,ME是一个后门,可以在操作系统用户无感的情况下完全访问存储器、绕过操作系统防火墙、发送和接收网络数据包,并且用户无法禁用ME。基于ME技术实现的英特尔AMT(主动管理技术)也曾被曝存在高危漏洞,攻击者可通过设置登录参数中响应字段为空,绕过认证机制直接登录系统并获得最高权限。
网空协会表示,英特尔的上述行为将广大服务器用户的网络和数据安全置于巨大的风险之中,并建议对英特尔在华销售的产品启动网络安全审查,以切实维护中国国家安全和中国消费者的合法权益。网空协会作为一个全国性、行业性、非营利性的社会组织,将接受业务主管单位国家互联网信息办公室和社团登记管理机关民政部的业务指导和监督管理,积极推动网络安全事业的发展。
*声明:本文系原作者创作。文章内容系其个人观点,我方转载仅为分享与讨论,不代表我方赞成或认同,如有异议,侵权欢迎联系我们删除!
▎往期推荐
