(原标题:英特尔被控“假借费力科罚之名,行监控用户之实”? 网空协会提出启动网安审查)
21世纪经济报谈 记者 王俊 北京报谈
10月16日,据“中国收集空间安全协会”发文,摆设了英特尔系列问题,包括:安全破绽问题频发;可靠性差,疏远用户投诉;假借费力科罚之名,行监控用户之实;暗设后门,危害收集和信息安全等情况。
英特尔公司500多亿好意思元的大家年收入,近四分之一来自中国商场。网空协会指出英特尔的举止存在安全隐患,将弥远做事器具户的收集和数据安全,置于巨大的风险之中。提出对英特尔在华销售居品启动收集安全审查,切实珍贵中国国度安全和中国耗尽者的正当职权。
中国收集空间安全协会为世界性、行业性、非渔利性社会组织,接管业务主宰单元中华东谈主民共和国国度互联网信息办公室和社团登记科罚机关中华东谈主民共和国民政部的业务调换和监督科罚。
“安全破绽问题频发”“可靠性差”网空协会说起,英特尔安全破绽问题频发。2023年8月,英特尔CPU被曝存在Downfall破绽。该破绽影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以登科1代至第4代至强处理器。2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等破绽,英特尔在居品性量、安全科罚方面存在的要紧过失。
况且,存在可靠性差,疏远用户投诉的问题。从2023年底就频现崩溃问题,半年以后英特尔公司方才详情问题并给出更新方式,且半年内给出的缓解措施也不顺利。
值得防护的是,网空协会指出,英特尔假借费力科罚之名,行监控用户之实。
著述指出,英特尔联结惠普等厂商,共同设想了IPMI(智能平台科罚接口)本事挨次,宣称是为了监控做事器的物理健康特征,本事上通过BMC(基板科罚结果器)模块对做事器进行科罚和结果。BMC模块允许用户费力科罚配置,可竣事启动贪图机、重装操作系统和挂载ISO镜像等功能。该模块曾经被曝存在高危破绽(如CVE-2019-11181),导致大家大王人做事器靠近被波折结果的极大安全风险。
除此以外,英特尔还在居品中集成存在严重破绽的第三方开源组件。网空协会暗示,这种不负包袱的举止,将弥远做事器具户的收集和数据安全,置于巨大的风险之中。
“暗设后门,危害收集和信息安全”网空协会说起,英特尔公司开垦的自主运转子系统ME(科罚引擎),自2008年起被镶嵌委果统共的英特尔CPU中,是其狂妄引申的AMT(主动科罚本事)的一部分,允许系统科罚员费力引申任务。独一该功能被激活,岂论是否安设了操作系统,王人不错费力造访贪图机,基于光驱、软驱、USB等外设重定向本事,约略竣事物理级斗争用户贪图机的遵循。
硬件安全大家Damien Zammit指出ME是一个后门,不错在操作系统用户无感的情况下,彻底造访存储器,绕过操作系统防火墙,发送和招揽网路数据包,况且用户无法禁用ME。基于ME本事竣事的英特尔AMT(主动科罚本事),曾在2017年被曝存在高危破绽(CVE-2017-5689),波折者可通过缔造登录参数中反应字段为空,竣事绕过认证机制,径直登录系统,取得最高权限。
“现在,ME上的软硬件是闭源的,其安全保险主要靠英特尔公司的片面甘愿,但事实标明英特尔的甘愿惨白无力,难以令东谈主驯顺。使用英特尔居品,给国度安全带来了严重隐患。”网空协会说起。
网空协会提出,对英特尔在华销售居品启动收集安全审查,切实珍贵中国国度安全和中国耗尽者的正当职权。