2017-10-13 11:17:06
来 源
中存储
存储器/芯片
慧荣固态硬盘主控是不是真的存在后门?慧荣科技 (SMI)SSD 硬盘主控制芯片疑有后门,遭银监会排查要求。

国庆节前后,在存储行业有一件比较轰动的事情,那就是关于慧荣科技 (SMI)SSD 硬盘主控制芯片疑有后门,遭银监会排查要求。

慧荣是全球主要NAND Flash控制芯片供应商,目前大多数的中低端SSD都在使用他们的主控芯片,如果SSD存在后门漏洞,那么黑客可以轻松获取类似银监会这种重要机构的私密数据,这也是这几年我国大力发展自主芯片的重要原因之一。

针对日前有国内多家网站论坛称 SSD 储存控制芯片大厂台湾慧荣科技 (SMI) 所出产的 3 款芯片,疑似有信息安全问题的顾虑,银监会要各单位进行排查的事件,慧荣科技除了在 5 日发出声明,坚称受到指控有安全疑虑的产品均合乎中国及全球各大厂商的认可,没有任何信息安全上的疑虑之外,慧荣高层 6 日接受媒体采访时也再度重申,这些芯片产品迄今没有发生任何因芯片本身的任何问题所造成的信息安全事件,要大家勿相信未经求证的新闻来源,并停止不实的消息传递。

慧荣固态硬盘主控芯片后门

根据各大论坛的消息,得出来的结论是慧荣这次预留了一个后门漏洞,有用户发现利用这个后门漏洞进行SSD的远程锁定并且可以直接获取硬盘内数据,受影响的有闪迪、西数部分型号、英特尔部分型号、威刚、台电多家企业的SSD。

慧荣面对媒体记者的提问时指出,针对该消息的发生,也是一头雾水。因为这样的消息出现在 10 月 1 日国庆长假的前一天。当时,有慧荣在银行业的客户告知表示,银监会受到国家网络与信息安全信息通报中心的指示,在微信的群组上告知所有的银行业要进行排查的动作,并且点名慧荣所出产的 3 款 SSD 控制芯片产品,包括 M2246EN、SM2256、SM2258 等都被点名为排查的对象,并且要在 10 月 10 日回报其使用状况。

不过,就在传出银监会即将排查的消息之后,慧荣科技公司的一封致客户函的图片也在网上开始流传,证明了网友爆料并非空穴来风。声明中,慧荣称将配合消息部门的合作,但是仍认为没有证据能够支撑消息中所说的产品有相关安全漏洞。

慧荣固态硬盘主控芯片后门

包括慧荣本身的客户,以及使用慧荣产品、并将其销售到国内市场的国外客户,第一时间都在探询这消息的真实性。同时,还有一位微博用户上传了一张在论坛里流传的排查通知截图。

银监会要求排查 慧荣固态硬盘主控是不是真的存在后门?

对此,慧荣指出,相关的 SSD 控制芯片在全世界已经销售超过 1 亿颗以上,目前遭到有安全疑虑点名的 3 款产品,最旧的产品已经推出 3 年以上,最新的也已经推出 1 年的时间,至今包括全世界客户在内,从来没有任何的客户质疑这些产品的安全性。

另外,3 款芯片遭到质疑有安全疑虑的功能,在“强迫写保护”的部分,慧荣解释该设计是为了避免资料遭到不确定因素破坏,而让资料流失,所以使得芯片在突发状况下有能读不能写的功能。就如同行车记录器在发生意外事故之际,可以让影像即时锁定,在只读的情况下,避免资料被覆盖或遭到移除而消失。这功能绝对不是外传会造成电脑当机,或是因为造成硬盘只能读不能写,而使得服务器当机的情况。

至于,另一个遭到质疑有安全疑虑的功能,就在于“全盘擦除”的功能。由于外界指出,这是慧荣设计的产品后门,能让有心人士在远端遥控下,就将 SSD 内的资料完全去除,造成资料遗失。对此,慧荣反驳表示,“全盘擦除”该项功能是设计避免在 SSD 产品有损坏、产品必须进行更换时,一旦 SSD 内容存有资料,就会有资料外泄的疑虑。因此,需要更换 SSD 的技术人员,必须亲自到机房内,打开储存设备,启动该项功能后,才能消除 SSD 上的资料。这是为了保护资料外泄所设计,并非外界所说会造成资料外泄的后门。

慧荣指出,遭到外界质疑外泄资料安全疑虑的两项功能,都是业界共通的设计,其他竞争对手的产品也有相同做法,并不是慧荣的独特做法,因此并不存在安全的疑虑;再加上这些功能都清楚地写在产品使用说明书上,这算是光明正大的前门,而非有安全疑虑的后门。针对外界这样的质疑,慧荣质疑确实有相关人士在进行消息的误导工作。

由于旗下产品被指控陷入信息安全的疑虑,慧荣指出,现阶段虽然没有接到更政府单位的正式排查公函,但是因为现在正值放假期间也无从证实消息,所以慧荣除了慎重地发出相关声明之外,也预计在放假结束后展开两项行动。首先,针对消息的来源进行调查,并且了解包括银监会与国家网络与信息安全信息通报中心,对慧荣的产品是否有任何误解或不清楚之处,以进行相关负面消息的消毒工作;还有就是未来预计将产品送交国内具公信力的第三方检测认证单位,以确认产品的安全性合不合标准。慧荣指出,这部分虽然要消耗比较长的时间,却可以达到比较好的效果。

最后,慧荣强调,这样无端的指控消息一出,目前慧荣已经有客户暂停采用、等待进一步结果的状况产生,这对于慧荣的商誉损失已经造成一定的影响,因此,希望在最后确认的结果公布前,所有未经证实的消息都能够停止流传,以免对依照规定做生意的企业造成无辜的伤害。

10月6日,慧荣在官网进行了相关回应,称绝无“流言消息”所提及之风险。银监会要求排查 慧荣固态硬盘主控是不是真的存在后门?

全文回应如下:

  1. 本公司产品的安全性为本公司自设立以来奉行不违的圭臬,因此长久以来深受中国与国际客户的信任与采用。

此外,本公司产品设计与相关质量管控一向恪遵包含中国在内各相关销售市场的要求,以及国际间的标准规范。

  1. 针对“流言消息”之疑点,本公司严肃并谨慎对待此一“流言消息”。

本公司藉此重申,本公司所设计制造的SSD主控晶(芯)片,是为消费型与工业用途的固态硬盘(盘)产品所设计,功能均为接收主机(Host)读写指令。

对闪存执行数据的存储与读出,并无自主对外联系的功能,其功能与传统硬盘无异,绝无“流言消息”所提及之风险。

  1. 本公司对于所生产的所有产品秉持全面负责之态度,任何本公司客户或相关主管机关具体指出本公司产品有异于业界协议之处,本公司均以积极负责及公开的态度调查。 但本公司亦于此强烈谴责未经求证之传言报导,或仅引用媒体报导就散发无法可经由查证而得以澄清之流言的恶劣市场竞争行为,对于不实的指控本公司保留一切法律追诉权利。

  2. 本公司一直以来本着诚信、正直、专注、服务的企业文化,戮力于SSD主控的设计开发,以最安全及最高质量主控方案为原则,将最好的产品方案提供给存储巿场伙伴,也已得到中国与全球各大品牌商客户的认同与使用。

截至目前为止,本公司已销售超过1亿颗的SSD主控,尚无任何一件因慧荣主控而发生的资料安全危机事件。

本公司今后将继续本着遵循中国及其他各地区所制定之资安标准以及相应的验证程序提供产品。

然本公司再次声明,慧荣科技遵守本分、绝无法律灰色地带,做好每一个主控芯片产品,并配合有关单位澄清相关疑虑,但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。

本文综合自Technews、极客湾、雷锋网报道

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。