首頁>商情資訊>行業(yè)新聞

國安部曝光境外芯片可能暗藏“后門”

2025-7-22 9:39:00
  • 如果家里的門鎖掌握在陌生人手里,家里人肯定不可能安心。同樣道理,如果某些芯片被內(nèi)置了“后門”,那里面存放的信息難免會有泄露的風(fēng)險。最近,國家安全機(jī)關(guān)也發(fā)文提醒大家,注意技術(shù)產(chǎn)品中那些悄悄埋下的“后門”埋伏,一旦爆發(fā)隱患,可能會造成嚴(yán)重的信息泄露。

國安部曝光境外芯片可能暗藏“后門”

如果家里的門鎖掌握在陌生人手里,家里人肯定不可能安心。同樣道理,如果某些芯片被內(nèi)置了“后門”,那里面存放的信息難免會有泄露的風(fēng)險。最近,國家安全機(jī)關(guān)也發(fā)文提醒大家,注意技術(shù)產(chǎn)品中那些悄悄埋下的“后門”埋伏,一旦爆發(fā)隱患,可能會造成嚴(yán)重的信息泄露。

所謂的“技術(shù)后門”,主要是指一些繞開平常安全措施的隱秘通道。最初,這些后門是為了方便開發(fā)時調(diào)試程序,方便找漏洞;但如果沒有及時關(guān)掉,就有可能被不法分子或黑客發(fā)現(xiàn),從而直接拿到系統(tǒng)權(quán)限,竊取敏感數(shù)據(jù)或者惡意控制設(shè)備。

事實上,這幾年,外部制造的一些芯片、智能終端甚至軟件,確實存在在出廠時就帶“后門”的情況。比如,一些廠商本意是方便售后維修,給產(chǎn)品留下遠(yuǎn)程訪問通道,但這些通道一旦管理不好或被黑客利用,那無異于在黑暗中裝了一只“眼睛”,說不定什么時候就偷偷把你的信息轉(zhuǎn)走。

除此之外,供應(yīng)鏈也是重要風(fēng)險環(huán)節(jié)。有些不法分子會在軟硬件的倉庫、代碼更新、開源項目等環(huán)節(jié)偷偷植入惡意指令,把“后門”安插進(jìn)成品流程里。等到設(shè)備投用后,這些后門同樣能實現(xiàn)遠(yuǎn)程操控,甚至偷偷竊取核心數(shù)據(jù)。

如果后門“藏”在固件或軟件驅(qū)動這些層面,理論上可以通過升級、打補(bǔ)丁、遠(yuǎn)程OTA等手段修補(bǔ)。但若問題出在芯片的“硬件后門”——也就是直接刻在電路里的那種——那就不是簡單軟件升級能解決的了。硬件后門往往通過設(shè)計巧妙地繞過加密、權(quán)限驗證。有的甚至用一些極難發(fā)現(xiàn)的電路邏輯觸發(fā)提權(quán),只要滿足特定條件后門就會悄然開啟。

大家或許還記得,之前有一種ARMv8芯片暴露出了名為PACMAN的晶體漏洞,這是一種典型的硬件級攻擊路徑。攻擊者可以借助芯片本身的缺陷繞開內(nèi)存保護(hù),導(dǎo)致數(shù)據(jù)泄露,且完全無法靠系統(tǒng)補(bǔ)丁來修復(fù)。唯一的方法是把芯片全部換成新架構(gòu)——像后來升級到ARM v9,加了更嚴(yán)格的驗證,才能杜絕類似問題。

這也正是為什么,核心部門和關(guān)鍵行業(yè)如今越來越重視國產(chǎn)、自主架構(gòu)的芯片。因為只有全流程掌控,從設(shè)計、制造到封測環(huán)節(jié)都保證不會被外部環(huán)節(jié)“做手腳”,才能從源頭上杜絕安全隱患。國際上的相關(guān)標(biāo)準(zhǔn)(比如美國NIST SP 800-193)也是這么要求的:只有設(shè)計和制造全程都可信,硬件風(fēng)險才能真正可控。

回顧近年相關(guān)案例,芯片安全問題屢見不鮮。有的事情甚至不只是信息泄露,還直接威脅人身安全。比如2024年9月,黎巴嫩發(fā)生多起尋呼機(jī)爆炸案。調(diào)查顯示,爆炸的原因竟然是尋呼機(jī)產(chǎn)品在出廠時電池旁邊被裝了炸藥,還配備了可以遠(yuǎn)程接收信號引爆的專用芯片。這些芯片表面上和普通配件沒差別,但只要觸發(fā)特殊射頻信號就能直接引爆。這一事件震驚了全球,也警示我們?nèi)魏挝⑿〉挠布箝T都有可能釀成大禍。

再比如2023年,安全機(jī)構(gòu)披露部分智能手機(jī)內(nèi)置的芯片會自動悄悄上傳個人信息,即使不用安卓系統(tǒng)、也不用谷歌服務(wù)都攔不住。上傳的內(nèi)容包括手機(jī)序列號、用戶ID、裝了什么APP,甚至還會采集性能、電池、定位等詳細(xì)數(shù)據(jù),傳到美國高通公司的服務(wù)器。從隱私和合規(guī)角度看,這顯然是嚴(yán)重越界。

而在2024年4月,國家安全機(jī)關(guān)再次通報某國品牌涉嫌為情報機(jī)構(gòu)設(shè)置操作系統(tǒng)后門,全球多國政府、高管手機(jī)都中招,間諜程序最多能悄悄潛伏一年多,敏感數(shù)據(jù)每天都被悄悄上傳。

應(yīng)對這類風(fēng)險,當(dāng)前主流做法還是鼓勵關(guān)鍵領(lǐng)域使用自主架構(gòu)或開源架構(gòu)的本土芯片,比如龍芯、申威、RISC-V等,最大限度杜絕外部不明IP入口。與此同時,從芯片設(shè)計、生產(chǎn)、測試到系統(tǒng)適配全過程,都要落實可控與安全要求。

總體來看,智能設(shè)備普及之后,個人與組織的信息安全防線比以往任何時候都更重要。對涉密領(lǐng)域來說,建議盡量選用國內(nèi)信創(chuàng)芯片及操作系統(tǒng),避免海外產(chǎn)品帶來的不確定后門。與此同時,芯片行業(yè)也要加速補(bǔ)齊各環(huán)節(jié)短板,建立完善的自主安全體系,把安全牢牢把握在自己手里。