中国网安协会:建议对英特尔产品启动网络安全审查,排查风险

南都讯 记者樊文扬 10月16日,中国网络空间安全协会官方公众号发文称,由于英特尔产品安全漏洞问题频发、故障率高等,建议对英特尔在华销售产品启动网络安全审查,系统排查其网络安全风险。文章发出后,英特尔美股盘前直线下挫,一度跌超4%。南都记者第一时间联系了英特尔中国区公关团队的相关人员,但截至发稿前未获回应。

图片

网空协会发布文章

根据中国网络空间安全协会(下称“网安协会”)文章,英特尔被指控主要存在四方面问题。

一是安全漏洞问题频发。2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞早在2022年就被公司知悉,但英特尔既不承认,也未采取有效行动,还持续销售有漏洞的产品;同年11月,其又被曝存在高危漏洞Reptar。2024年以来,英特尔CPU先后曝出GhostRace、NativeBHI、Indirector等漏洞。英特尔在产品质量、安全管理方面存在的重大缺陷,表明其对客户极不负责任的态度。

二是可靠性差,漠视用户投诉。从2023年底开始,大量用户反映,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。次年7月,英特尔承认出现该现象的原因是错误的微代码算法向处理器发出过高的电压请求。时隔半年,英特尔公司方才确定问题并给出更新程序,且半年内给出的缓解措施也不奏效,反映出其在面对自身产品缺陷时,选择了一味漠视、推诿和拖延。

三是假借远程管理之名,行监控用户之实。英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控服务器的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。BMC模块允许用户远程管理设备,可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块也曾被曝存在高危漏洞(如CVE-2019-11181),导致全球大量服务器面临被攻击控制的极大安全风险。除此之外,英特尔还在产品中集成存在严重漏洞的第三方开源组件等。这种不负责任的行为,将广大服务器用户的网络和数据安全,置于巨大的风险之中。

四是暗设后门,危害网络和信息安全。英特尔公司开发的自主运行子系统ME(管理引擎),自2008年起被嵌入几乎所有的英特尔CPU中。只要该功能被激活,无论是否安装了操作系统,都可以远程访问计算机,基于光驱、软驱、USB等外设重定向技术,能够实现物理级接触用户计算机的效果。

然而,硬件安全专家Damien Zammit指出ME是一个后门,可以在操作系统用户无感的情况下,完全访问存储器,绕过操作系统防火墙,发送和接收网路数据包,并且用户无法禁用ME。基于ME技术实现的英特尔AMT(主动管理技术),曾在2017年被曝存在高危漏洞(CVE-2017-5689)。

2017年8月,俄罗斯安全专家Mark Ermolov和Maxim Goryachy通过逆向技术找到了疑似NSA(美国国家安全局)设置的隐藏开关,该开关位于PCHSTERP0字段中的HAP位,但此次标志位并没有在官方文档中记录。戏剧性的是,HAP全称为High Assurance Platform(高保障平台),属于NSA发起的构建下一代安全防御体系项目。

如果NSA通过开启HAP位隐藏开关直接关闭ME系统,与此同时全球其他英特尔CPU都默认运行ME系统,这就相当于NSA可以构建一个只有其自己有防护,其他所有人都在“裸奔”的理想监控环境。这对于包括中国在内世界各国的关键信息基础设施来说,都构成极大的安全威胁。

网安协会文章称,英特尔公司全球年收入达500多亿美元,近四分之一来自中国市场。2021年英特尔公司的CPU占国内台式机市场约77%,在笔记本市场占约81%;2022年英特尔在中国的x86服务器市场份额约91%。

英特尔在中国赚得盆满钵满,却不断做出损害中国利益、威胁中国国家安全的事情。为讨好美国政府,英特尔在所谓涉疆问题上积极站位打压中国,在财报中将台湾省与中国、美国、新加坡并列,主动对华为、中兴等中国企业断供停服。

为此,网安协会方面建议,对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。

该文章发出后,英特尔美股盘前直线下挫,一度跌超4%。南都记者尝试联系了英特尔中国区公关团队的相关人员,但截至发稿前未获回应。

南都记者梳理发现,此前就有外国企业接受我国网络安全审查的先例。去年3月,国家互联网信息办公室网络安全审查办公室对美国存储巨头美光公司在华销售产品实施网络安全审查。约两月后,其在华销售产品被宣布未通过网络安全审查,按照相关法律法规,我国关键信息基础设施的运营者应停止采购美光公司产品。

此外,近年来多家国内知名企业也遭受过网络安全审查。2021年7月,滴滴出行科技有限公司接受网络安全审查,次年滴滴公司因存在16项违法事实,被处人民币80.26亿元罚款;2022年6月,知网被启动网络安全审查,次年9月,知网运营的14款App被查实存在违反必要原则收集个人信息、未经同意收集个人信息等违法行为,知网被处人民币5000万元罚款。

公开信息显示,中国网络空间安全协会成立于2016年,是一个由中央网信办主管的全国性、行业性、非营利性社会组织,囊括了国内主要互联网企业和网络安全企业、权威科研机构及网络安全领域的权威专家。截至2024年9月,协会共有单位会员627家,个人会员326人。