近期,互聯(lián)網(wǎng)上傳出慧榮科技(Silicon Motion,Inc. NASDAQ:SIMO)旗下SM2246EN、M2256、SM2258三款主控芯片涉嫌存在后門漏洞,該漏洞可能會導(dǎo)致SSD(指固態(tài)硬盤)出現(xiàn)數(shù)據(jù)丟失、無法使用等故障,七彩虹、臺電科技、英特爾、威剛科技(ADATA)等66家SSD廠商的多款產(chǎn)品被牽扯其中。

針對此事,慧榮科技多次發(fā)布公告稱SSD主控芯片是為消費(fèi)型與工業(yè)用途的固態(tài)硬盤產(chǎn)品所設(shè)計,閃存執(zhí)行數(shù)據(jù)的讀寫功能均為接收主機(jī)指令,并無自主對外聯(lián)系的功能,絕無“流言消息”所提及之風(fēng)險

在昨日(10月17日),慧榮科技再度發(fā)出相關(guān)澄清消息表示,公司至今未接獲能夠在任何方面證實(shí)慧榮產(chǎn)品存在漏洞的任何資訊或檔案;同時,慧榮也未收到任何政府單位對其產(chǎn)品因媒體報導(dǎo)有所謂的漏洞,而可能引發(fā)產(chǎn)品安全,或其所涉的資訊安全的書面或口頭通知、通報或詢問。

慧榮科技于1995年在美國硅谷成立,目前總部在臺灣。該公司于2005年在美國NASDAQ上市,是亞洲第一家赴美掛牌的集成電路設(shè)計公司。目前,慧榮科技共為66家SSD廠商提供主控芯片,總銷售已超過1億顆,其在全球市場的份額占比約在35%左右。截至6月30日,慧榮科技營收約2.6億美元,凈利潤約4754萬美元。

如果此次漏洞傳言屬實(shí),對慧榮科技的影響將非常巨大。

慧榮科技相關(guān)人士向媒體表示,慧榮科技已經(jīng)銷售超過1億顆SSD,從未有因主控芯片發(fā)生資料安全事件;目前慧榮科技仍在調(diào)查此次傳言的源頭,并懷疑此事件為競爭對手刻意抹黑之作。

事件經(jīng)過

9月29日,有新浪微博用戶上傳一張截圖,顯示“銀監(jiān)會要求核實(shí)以下情況,在生產(chǎn)、開發(fā)、測試等環(huán)境中,是否使用了固態(tài)硬盤,以及固態(tài)硬盤是否為臺灣慧榮公司型號為‘SM2246EN’、‘SM2256’、‘SM2258’的主控芯片,如確實(shí)使用上述三種型號之一的主控芯片,請將具體信息上報”等信息。

huirong2

另外,在某BBS也流傳一則排查通知截圖,但該截圖并無文件抬頭及落款,圖中信息顯示,“慧榮科技SM2246EV(注:經(jīng)查正確型號應(yīng)為SM2246EN)、SM2256、SM2258等三款主控芯片存在額外的后門漏洞,一旦被利用,有可能造成數(shù)據(jù)泄露、破壞或無法運(yùn)行等情況”。

huirong3

10月2日雷鋒網(wǎng)發(fā)布文章《傳臺灣公司主控SSD藏后門,銀監(jiān)會要求調(diào)查》,該主控漏洞事件開始不斷發(fā)酵,并在一些主流媒體的科技頻道中迅速擴(kuò)散開來。

針對網(wǎng)絡(luò)傳聞及報道,慧榮科技多次發(fā)布公告澄清。

9月30日,慧榮科技在一份致客戶的函件中表示,相關(guān)產(chǎn)品的設(shè)計與質(zhì)量管控均遵守包含中國在內(nèi)各相關(guān)銷售市場的要求,以及國際間的標(biāo)準(zhǔn)規(guī)范,經(jīng)內(nèi)部初步調(diào)查后發(fā)現(xiàn),目前并無證據(jù)可以支持主控產(chǎn)品存在“傳言”中提及的安全漏洞。

10月6日,慧榮科技對外公告稱,相關(guān)產(chǎn)品絕無“流言消息”所提及之風(fēng)險,并對相關(guān)不實(shí)的指控保留法律追訴權(quán)利;慧榮科技將配合有關(guān)單位澄清相關(guān)疑慮,但堅(jiān)決反對引用未證實(shí)或無法證實(shí)之新聞做市場競爭不實(shí)之宣傳。

慧榮科技工作人員解釋稱,“傳言”指控的所謂漏洞均為行業(yè)內(nèi)共通的設(shè)計,主要起保護(hù)固態(tài)硬盤及資料安全的作用,而且固態(tài)硬盤并無對外連接功能,所有的操作均需通過主機(jī)完成,在技術(shù)層面上根本不存在繞過主機(jī)直接攻擊固態(tài)硬盤的可操作性。

技術(shù)上是否存在后門漏洞?

慧榮科技事件發(fā)生后,網(wǎng)絡(luò)上爭議非常大,也有部分媒體及網(wǎng)友通過技術(shù)分析SSD主控是否存在后門漏洞的可能。

據(jù)it168網(wǎng)站分析,從技術(shù)角度來看,主控芯片是無法繞過CPU自行對數(shù)據(jù)進(jìn)行讀寫處理的,更不會泄露數(shù)據(jù),以下為其分析過程:

1.主控芯片能自行泄露數(shù)據(jù)?

首先來簡單說一下SSD的組成,目前絕大多數(shù)的SSD是由主控芯片、緩存顆粒、閃存顆粒三部分組成(部分SSD已經(jīng)看不到緩存顆粒了)。主控芯片相當(dāng)于CPU,負(fù)責(zé)數(shù)據(jù)的讀寫工作;緩存顆粒相當(dāng)于內(nèi)存,幫助主控讓讀寫數(shù)據(jù)更迅速;閃存顆粒相當(dāng)于硬盤,也就是存儲數(shù)據(jù)的地方。

而對閃存顆粒的讀寫必須要經(jīng)過接收主機(jī)(Host)指令才行,主控芯片是無法自行對數(shù)據(jù)進(jìn)行讀寫處理的,并且主控芯片也不具備對外通信的功能,絕不可能繞過主機(jī)(Host)控制而泄漏儲存數(shù)據(jù),更沒有繞過主機(jī)控制而導(dǎo)致系統(tǒng)癱瘓的可能,從某種角度來說,SSD完全是一個被動的角色。

2.通過自定義接口泄露數(shù)據(jù)?

那么主控芯片能否通過自定義接口泄露數(shù)據(jù)呢?回答這個問題有必要解釋一下自定義接口這個東西。

所謂自定義接口(Vendor Command),指的是在SATA/PCIe規(guī)范的標(biāo)準(zhǔn)指令以外的定制化指令,是由主控芯片根據(jù)各家SSD生產(chǎn)廠商的要求所定義的新指令,主要針對特殊用途及工業(yè)用途的SSD,它的目的是幫助客戶快速實(shí)現(xiàn)某種需求,比如方便質(zhì)量管控等,這就有點(diǎn)像鍵盤中的快捷鍵,并且自定義接口在存儲設(shè)備中已經(jīng)是必要的基本功能了,所以自定義接口也不會是SSD泄露數(shù)據(jù)的元兇。

3.寫入保護(hù)/強(qiáng)制擦除所有塊功能會泄露數(shù)據(jù)?

主控芯片不會泄露數(shù)據(jù),自定義接口也不會,那么會不會是SSD中的寫入保護(hù)和強(qiáng)制擦除所有塊這兩個功能泄露的呢?答案依舊是否定的。

有用過U盤或者SD卡的朋友肯定知道寫入保護(hù)這個功能,它的作用是讓U盤或者SD卡中的數(shù)據(jù)不被更改或刪除,保護(hù)原有文件,而SSD中的寫入保護(hù)是出于同樣的目的,當(dāng)SSD外部電壓不穩(wěn)定時,就能啟動寫入保護(hù)功能,避免主機(jī)或用戶寫入錯誤數(shù)據(jù)或刪除數(shù)據(jù)的可能性。

再來說說強(qiáng)制擦除所有塊這個功能,其實(shí)這個功能適用于所有SSD或是HDD,但主要是針對工業(yè)用SSD 而設(shè)計。工業(yè)用SSD對質(zhì)量要求相當(dāng)嚴(yán)格,在用戶或公司進(jìn)行新舊SSD替換時,常用到強(qiáng)制擦除所有塊這個特殊指令,它可以快速的將要淘汰的SSD中的數(shù)據(jù)清除干凈,避免內(nèi)部的數(shù)據(jù)被他人所使用,這也是保護(hù)SSD數(shù)據(jù)的一項(xiàng)重要功能。

最后文章總結(jié):從技術(shù)角度來看,主控芯片是無法繞過CPU自行對數(shù)據(jù)進(jìn)行讀寫處理的,更不會泄露數(shù)據(jù),通過自定義接口或者寫入保護(hù)/強(qiáng)制擦除所有塊功能泄露數(shù)據(jù)也不成立,有些功能反倒是為保護(hù)數(shù)據(jù)而設(shè)計的。

以上為小編選取的眾多相關(guān)技術(shù)分析之一,關(guān)于SSD主控是否存在后門漏洞的可能性分析,歡迎大家留言討論。

國產(chǎn)SSD廠集體疑遭抹黑?

這次“漏洞門”事件牽連甚廣,七彩虹、臺電科技、英特爾、威剛科技(ADATA)等66家SSD廠商的多款產(chǎn)品被牽扯其中。

事件雖然隨著慧榮科技的澄清公告漸漸平息,但有部分SSD廠商依舊受到了些許的影響。有SSD廠商向媒體透露,在“漏洞門”傳言出現(xiàn)后,國慶節(jié)前,京東曾緊急與廠商進(jìn)行過溝通,但并未提及產(chǎn)品下架事宜,國慶節(jié)后,京東也再未就此進(jìn)行過聯(lián)系。

據(jù)《中國經(jīng)營報》報道,慧榮科技這次的蹊蹺SSD漏洞門,國產(chǎn)壯大或是誘因,疑為競爭對手刻意抹黑。

報道顯示,8月底,國內(nèi)某論壇發(fā)布多篇SSD產(chǎn)品拆解評測,直指七彩虹、金泰克、臺電科技、影馳等四個品牌共七款產(chǎn)品涉嫌使用二手拆解顆粒、報廢顆粒等次品。隨后,四大廠商及另一家主控芯片企業(yè)群聯(lián)電子先后發(fā)聲,譴責(zé)這種惡意抹黑的行為。

其中,群聯(lián)電子董事長潘建成稱“黑芯”事件為群聯(lián)電子與競爭對手之戰(zhàn)爭所引起;而金泰克董事長李創(chuàng)峰甚至還發(fā)布了一份《捍衛(wèi)國內(nèi)品牌聲明》,稱一系列抹黑是幕后黑手想讓國產(chǎn)品牌惡意嗜殺,讓消費(fèi)者不再相信國產(chǎn),讓國內(nèi)存儲市場成為舶來品的天下。而對此次“漏洞門”事件,慧榮科技也質(zhì)疑有相關(guān)人士在進(jìn)行消息的誤導(dǎo)工作。

短短一個多月,四家SSD品牌商、兩家SSD主控芯片廠商均對外聲稱遭到競爭對手的惡意抹黑,凸顯出國內(nèi)存儲市場競爭激烈。此前也有SSD廠商工作人員向《中國經(jīng)營報》記者表示,個別國外品牌看到國產(chǎn)企業(yè)發(fā)展迅速,因而故意采取詆毀手段進(jìn)行一系列抹黑。

自2016年三季度開始,由于閃存顆粒出現(xiàn)持續(xù)性缺貨,全球SSD的價格一路上揚(yáng),在這一輪漲價潮中,老牌巨頭三星、金士頓等國外企業(yè)進(jìn)一步鞏固了其在國際市場上的話語權(quán);但在國內(nèi)市場,部分國產(chǎn)品牌卻增速迅猛,取得了不錯的出貨成績。

國外市場調(diào)研機(jī)構(gòu)Forward Insights的數(shù)據(jù)顯示,截至2016年底,三星與金士頓分別占據(jù)了全球SSD市場份額的21%、16%,兩家的消費(fèi)級SSD出貨量分別超過1300萬塊、1000萬塊,在國際市場上占據(jù)著絕對的統(tǒng)治地位。

但在國內(nèi)市場,情況卻出現(xiàn)了一定的變化。

根據(jù)博板堂統(tǒng)計的出貨數(shù)據(jù)顯示,截至今年5月,金士頓雖然穩(wěn)坐SSD月出貨榜頭名,但從6月開始,金泰克、臺電科技等品牌已經(jīng)將金士頓擠至第三位;三星在今年2月份還位于出貨榜的第三名,但自3月份開始便未在出貨榜上進(jìn)入過前五名,目前臺電科技、金泰克、七彩虹、影馳等四家品牌已經(jīng)成為國內(nèi)月出貨榜前五的???。很顯然,相比于售價高昂的國外品牌,國產(chǎn)廠商依托較低的售價在國內(nèi)市場占據(jù)了一席之地。

但低價策略并非長久之計,目前國產(chǎn)SSD廠商在整個行業(yè)鏈中只能扮演著組裝廠的角色,同時國產(chǎn)存儲顆粒的量產(chǎn)時間也依舊未知,國內(nèi)也尚未出現(xiàn)有研發(fā)能力的主控芯片廠商。無論是技術(shù)還是人才方面,國產(chǎn)廠商均落后于韓美日等幾大巨頭,如何完善產(chǎn)業(yè)環(huán)境,獲得關(guān)鍵技術(shù)和人才就成為國內(nèi)存儲行業(yè)所需要考慮的首要問題,也是中國存儲能否獲得成功的關(guān)鍵。

附:慧榮科技17日澄清說明

臺灣臺北2017年10月17日電 / / -- 近日,針對部分網(wǎng)絡(luò)媒體對我司進(jìn)行的關(guān)于“慧榮科技產(chǎn)品型號 SM2246EN, SM2256, SM2258 的固態(tài)硬盤主控芯片或存在后門漏洞”(下稱“漏洞”)的不實(shí)報道(下稱“消息”),嚴(yán)重誤導(dǎo)用戶和消費(fèi)者并擾亂市場經(jīng)濟(jì)秩序,對我司和客戶名譽(yù)以及我司和客戶產(chǎn)品聲譽(yù)造成重大損害。藉此,我司首先對關(guān)心慧榮科技的廣大用戶和合作伙伴表示感謝。同時,針對上述“消息”,特此澄清和聲明如下:

慧榮科技公司是亞洲第一家在美國納斯達(dá)克掛牌上市的 IC 設(shè)計公司,多年來一直保持著全球領(lǐng)先地位,備受行業(yè)內(nèi)的肯定。公司自成立以來,堅(jiān)持以誠信、正直、守法為本,為客戶提供最完整及高品質(zhì)的產(chǎn)品與服務(wù)。公司產(chǎn)品的所有技術(shù)與規(guī)格都符合國際法規(guī)標(biāo)準(zhǔn)。搭配慧榮科技 SSD 主控方案的固態(tài)硬盤,行銷全球各地(累計銷售量達(dá)到1個億),其品質(zhì)深受全球用戶的肯定。

針對網(wǎng)絡(luò)文章中提到的“漏洞”問題, 我公司積極與相關(guān)部門取得聯(lián)系。經(jīng)過我司專業(yè)團(tuán)隊(duì)的多方查證后,我司并未接獲能夠在任何方面證實(shí)我司產(chǎn)品存在“漏洞”的任何信息或文件。同時,我司也未收到任何政府單位對我司產(chǎn)品因“消息”中所謂的“漏洞”而可能引發(fā)產(chǎn)品安全或其所涉的信息安全的書面或口頭通知、通報或詢問。

產(chǎn)品的安全性及其所涉的信息安全是我司自設(shè)立以來所奉行的宗旨,不容妥協(xié)。為此,我司組成了專業(yè)團(tuán)隊(duì)以積極、主動、負(fù)責(zé)的態(tài)度及公開的方式,同時秉持著對廣大消費(fèi)者和用戶的負(fù)責(zé)任態(tài)度以及對于事實(shí)真相的尊重,具體開展工作如下:

我司將“消息”所涉我司產(chǎn)品提交權(quán)威檢測機(jī)構(gòu)進(jìn)行“漏洞”檢測 我司業(yè)務(wù)部門已經(jīng)向用戶方面發(fā)出公告,并逐家拜訪消除疑惑 我司法律部門已介入,并積極取證,就本次事件可能涉及的刑事問題向公安部門舉報 我司將積極配合相關(guān)部門和機(jī)構(gòu)進(jìn)行調(diào)查,澄清事實(shí),并打擊各種擾亂市場經(jīng)濟(jì)秩序的行為

對于相關(guān)網(wǎng)絡(luò)媒體并未與我司針對“消息”中涉及的產(chǎn)品進(jìn)行信息核實(shí),而采取片面選用可疑的信息來源,加以帶有明顯的片面性和傾向性的敘述方法與標(biāo)題,加以發(fā)布和傳播的行為,我司深表遺憾和痛心。有鑒于此,我們真誠地希望與各大媒體保持良性溝通與交流,避免由于對于不了解而產(chǎn)生的誤會行為。與此同時,對于利用網(wǎng)絡(luò)造假或散布未經(jīng)求證的傳言報導(dǎo),或藉此機(jī)會以損害我司聲譽(yù)的方式達(dá)到為其產(chǎn)品宣傳的惡劣市場競爭行為,我們也堅(jiān)決抵制,并采取一切法律允許的措施,以維護(hù)并伸張我司和客戶的合法權(quán)益。

慧榮科技作為 SSD 主控方案的全球領(lǐng)先企業(yè),扎根中國市場的決心十分堅(jiān)定,在中國市場深耕細(xì)作了14年,從最根本的團(tuán)隊(duì)研發(fā)和人才教育開始,在中國建立了一個優(yōu)秀的面對客戶銷售服務(wù)、研發(fā)和持續(xù)創(chuàng)新的團(tuán)隊(duì),培育了許多優(yōu)秀的半導(dǎo)體設(shè)計人才與精英?;蹣s也是華聚產(chǎn)業(yè)共同標(biāo)準(zhǔn)推動基金會的成員,過去十幾年,積極投入兩岸共同產(chǎn)業(yè)標(biāo)準(zhǔn)的制定,為兩岸共同產(chǎn)業(yè)標(biāo)準(zhǔn),尤其是存儲產(chǎn)品的標(biāo)準(zhǔn)化有諸多貢獻(xiàn)。我司堅(jiān)持“合作共贏、共同發(fā)展”,在中國各城巿布服務(wù)網(wǎng)點(diǎn),并與客戶、合作伙伴共同參與投入并推動中國的產(chǎn)業(yè)走向國際化巿場。我司定將繼續(xù)本著遵循中國及其他各國家和地區(qū)所制定的安全標(biāo)準(zhǔn)提供產(chǎn)品,并持續(xù)聆聽客戶、合作伙伴與相關(guān)單位對我司及我司產(chǎn)品的批評、指教與監(jiān)督。

特此聲明,以正視聽。