最近,中国网络空间安全协会指出英特尔产品存在安全漏洞,并建议有关部门对英特尔在华销售的产品启动网络安全审查,以维护中国国家安全和消费者权益。
中国网络空间安全协会表示,2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞是一种CPU瞬态执行侧信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以及第1代至第4代至强处理器。
早在2022年,就有研究者向英特尔报告过该漏洞,但英特尔在明知漏洞存在的情况下,既不予承认,也未采取有效行动,还持续销售有漏洞的产品,直至漏洞被公开报道,英特尔才被迫采取漏洞修复措施。已有五位受害者以自身及“全美CPU消费者”代表的名义,于2023年11月在美国北加州联邦地方法院圣何塞分院,针对上述情况向英特尔发起集体诉讼。
中国网络空间安全协会还表示,英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控服务器的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。BMC模块允许用户远程管理设备,可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块也曾被曝存在高危漏洞(如CVE-2019-11181),导致全球大量服务器面临被攻击控制的极大安全风险。
另外,英特尔公司开发的自主运行子系统ME(管理引擎),自2008年起被嵌入几乎所有的英特尔CPU中,是其大力推广的AMT(主动管理技术)的一部分,允许系统管理员远程执行任务。只要该功能被激活,无论是否安装了操作系统,都可以远程访问计算机,基于光驱、软驱、USB等外设重定向技术,能够实现物理级接触用户计算机的效果。
目前,国内CPU市场基本被英特尔和AMD垄断,国产CPU只能靠政策在篱笆墙内生存。虽然大家都知道美国的CPU不安全,但就民用市场而言,英特尔和AMD在性能、生态、服务等方面的优势巨大,国产CPU与英特尔的差距依然很大。由于一些国产CPU走的是技术引进路线,买了国外公司的技术授权和源代码,如果不能把买来的东西吃透消化吸收,那么,是否也和购买国外CPU一样存在安全风险?这是一个值得商榷的问题。
打铁还需自身硬,想要彻底将国外CPU驱逐出中国,需要国内CPU厂商、整机厂、软件工商携手努力。
