近期,互聯(lián)網(wǎng)上傳出慧榮科技(Silicon Motion,Inc. NASDAQ:SIMO)旗下SM2246EN、M2256、SM2258三款主控芯片涉嫌存在后門(mén)漏洞,該漏洞可能會(huì )導致SSD(指固態(tài)硬盤(pán))出現數據丟失、無(wú)法使用等故障,七彩虹、臺電科技、英特爾、威剛科技(ADATA)等66家SSD廠(chǎng)商的多款產(chǎn)品被牽扯其中。

針對此事,慧榮科技多次發(fā)布公告稱(chēng)SSD主控芯片是為消費型與工業(yè)用途的固態(tài)硬盤(pán)產(chǎn)品所設計,閃存執行數據的讀寫(xiě)功能均為接收主機指令,并無(wú)自主對外聯(lián)系的功能,絕無(wú)“流言消息”所提及之風(fēng)險

在昨日(10月17日),慧榮科技再度發(fā)出相關(guān)澄清消息表示,公司至今未接獲能夠在任何方面證實(shí)慧榮產(chǎn)品存在漏洞的任何資訊或檔案;同時(shí),慧榮也未收到任何政府單位對其產(chǎn)品因媒體報導有所謂的漏洞,而可能引發(fā)產(chǎn)品安全,或其所涉的資訊安全的書(shū)面或口頭通知、通報或詢(xún)問(wèn)。

慧榮科技于1995年在美國硅谷成立,目前總部在臺灣。該公司于2005年在美國NASDAQ上市,是亞洲第一家赴美掛牌的集成電路設計公司。目前,慧榮科技共為66家SSD廠(chǎng)商提供主控芯片,總銷(xiāo)售已超過(guò)1億顆,其在全球市場(chǎng)的份額占比約在35%左右。截至6月30日,慧榮科技營(yíng)收約2.6億美元,凈利潤約4754萬(wàn)美元。

如果此次漏洞傳言屬實(shí),對慧榮科技的影響將非常巨大。

慧榮科技相關(guān)人士向媒體表示,慧榮科技已經(jīng)銷(xiāo)售超過(guò)1億顆SSD,從未有因主控芯片發(fā)生資料安全事件;目前慧榮科技仍在調查此次傳言的源頭,并懷疑此事件為競爭對手刻意抹黑之作。

事件經(jīng)過(guò)

9月29日,有新浪微博用戶(hù)上傳一張截圖,顯示“銀監會(huì )要求核實(shí)以下情況,在生產(chǎn)、開(kāi)發(fā)、測試等環(huán)境中,是否使用了固態(tài)硬盤(pán),以及固態(tài)硬盤(pán)是否為臺灣慧榮公司型號為‘SM2246EN’、‘SM2256’、‘SM2258’的主控芯片,如確實(shí)使用上述三種型號之一的主控芯片,請將具體信息上報”等信息。

huirong2

另外,在某BBS也流傳一則排查通知截圖,但該截圖并無(wú)文件抬頭及落款,圖中信息顯示,“慧榮科技SM2246EV(注:經(jīng)查正確型號應為SM2246EN)、SM2256、SM2258等三款主控芯片存在額外的后門(mén)漏洞,一旦被利用,有可能造成數據泄露、破壞或無(wú)法運行等情況”。

huirong3

10月2日雷鋒網(wǎng)發(fā)布文章《傳臺灣公司主控SSD藏后門(mén),銀監會(huì )要求調查》,該主控漏洞事件開(kāi)始不斷發(fā)酵,并在一些主流媒體的科技頻道中迅速擴散開(kāi)來(lái)。

針對網(wǎng)絡(luò )傳聞及報道,慧榮科技多次發(fā)布公告澄清。

9月30日,慧榮科技在一份致客戶(hù)的函件中表示,相關(guān)產(chǎn)品的設計與質(zhì)量管控均遵守包含中國在內各相關(guān)銷(xiāo)售市場(chǎng)的要求,以及國際間的標準規范,經(jīng)內部初步調查后發(fā)現,目前并無(wú)證據可以支持主控產(chǎn)品存在“傳言”中提及的安全漏洞。

10月6日,慧榮科技對外公告稱(chēng),相關(guān)產(chǎn)品絕無(wú)“流言消息”所提及之風(fēng)險,并對相關(guān)不實(shí)的指控保留法律追訴權利;慧榮科技將配合有關(guān)單位澄清相關(guān)疑慮,但堅決反對引用未證實(shí)或無(wú)法證實(shí)之新聞做市場(chǎng)競爭不實(shí)之宣傳。

慧榮科技工作人員解釋稱(chēng),“傳言”指控的所謂漏洞均為行業(yè)內共通的設計,主要起保護固態(tài)硬盤(pán)及資料安全的作用,而且固態(tài)硬盤(pán)并無(wú)對外連接功能,所有的操作均需通過(guò)主機完成,在技術(shù)層面上根本不存在繞過(guò)主機直接攻擊固態(tài)硬盤(pán)的可操作性。

技術(shù)上是否存在后門(mén)漏洞?

慧榮科技事件發(fā)生后,網(wǎng)絡(luò )上爭議非常大,也有部分媒體及網(wǎng)友通過(guò)技術(shù)分析SSD主控是否存在后門(mén)漏洞的可能。

據it168網(wǎng)站分析,從技術(shù)角度來(lái)看,主控芯片是無(wú)法繞過(guò)CPU自行對數據進(jìn)行讀寫(xiě)處理的,更不會(huì )泄露數據,以下為其分析過(guò)程:

1.主控芯片能自行泄露數據?

首先來(lái)簡(jiǎn)單說(shuō)一下SSD的組成,目前絕大多數的SSD是由主控芯片、緩存顆粒、閃存顆粒三部分組成(部分SSD已經(jīng)看不到緩存顆粒了)。主控芯片相當于CPU,負責數據的讀寫(xiě)工作;緩存顆粒相當于內存,幫助主控讓讀寫(xiě)數據更迅速;閃存顆粒相當于硬盤(pán),也就是存儲數據的地方。

而對閃存顆粒的讀寫(xiě)必須要經(jīng)過(guò)接收主機(Host)指令才行,主控芯片是無(wú)法自行對數據進(jìn)行讀寫(xiě)處理的,并且主控芯片也不具備對外通信的功能,絕不可能繞過(guò)主機(Host)控制而泄漏儲存數據,更沒(méi)有繞過(guò)主機控制而導致系統癱瘓的可能,從某種角度來(lái)說(shuō),SSD完全是一個(gè)被動(dòng)的角色。

2.通過(guò)自定義接口泄露數據?

那么主控芯片能否通過(guò)自定義接口泄露數據呢?回答這個(gè)問(wèn)題有必要解釋一下自定義接口這個(gè)東西。

所謂自定義接口(Vendor Command),指的是在SATA/PCIe規范的標準指令以外的定制化指令,是由主控芯片根據各家SSD生產(chǎn)廠(chǎng)商的要求所定義的新指令,主要針對特殊用途及工業(yè)用途的SSD,它的目的是幫助客戶(hù)快速實(shí)現某種需求,比如方便質(zhì)量管控等,這就有點(diǎn)像鍵盤(pán)中的快捷鍵,并且自定義接口在存儲設備中已經(jīng)是必要的基本功能了,所以自定義接口也不會(huì )是SSD泄露數據的元兇。

3.寫(xiě)入保護/強制擦除所有塊功能會(huì )泄露數據?

主控芯片不會(huì )泄露數據,自定義接口也不會(huì ),那么會(huì )不會(huì )是SSD中的寫(xiě)入保護和強制擦除所有塊這兩個(gè)功能泄露的呢?答案依舊是否定的。

有用過(guò)U盤(pán)或者SD卡的朋友肯定知道寫(xiě)入保護這個(gè)功能,它的作用是讓U盤(pán)或者SD卡中的數據不被更改或刪除,保護原有文件,而SSD中的寫(xiě)入保護是出于同樣的目的,當SSD外部電壓不穩定時(shí),就能啟動(dòng)寫(xiě)入保護功能,避免主機或用戶(hù)寫(xiě)入錯誤數據或刪除數據的可能性。

再來(lái)說(shuō)說(shuō)強制擦除所有塊這個(gè)功能,其實(shí)這個(gè)功能適用于所有SSD或是HDD,但主要是針對工業(yè)用SSD 而設計。工業(yè)用SSD對質(zhì)量要求相當嚴格,在用戶(hù)或公司進(jìn)行新舊SSD替換時(shí),常用到強制擦除所有塊這個(gè)特殊指令,它可以快速的將要淘汰的SSD中的數據清除干凈,避免內部的數據被他人所使用,這也是保護SSD數據的一項重要功能。

最后文章總結:從技術(shù)角度來(lái)看,主控芯片是無(wú)法繞過(guò)CPU自行對數據進(jìn)行讀寫(xiě)處理的,更不會(huì )泄露數據,通過(guò)自定義接口或者寫(xiě)入保護/強制擦除所有塊功能泄露數據也不成立,有些功能反倒是為保護數據而設計的。

以上為小編選取的眾多相關(guān)技術(shù)分析之一,關(guān)于SSD主控是否存在后門(mén)漏洞的可能性分析,歡迎大家留言討論。

國產(chǎn)SSD廠(chǎng)集體疑遭抹黑?

這次“漏洞門(mén)”事件牽連甚廣,七彩虹、臺電科技、英特爾、威剛科技(ADATA)等66家SSD廠(chǎng)商的多款產(chǎn)品被牽扯其中。

事件雖然隨著(zhù)慧榮科技的澄清公告漸漸平息,但有部分SSD廠(chǎng)商依舊受到了些許的影響。有SSD廠(chǎng)商向媒體透露,在“漏洞門(mén)”傳言出現后,國慶節前,京東曾緊急與廠(chǎng)商進(jìn)行過(guò)溝通,但并未提及產(chǎn)品下架事宜,國慶節后,京東也再未就此進(jìn)行過(guò)聯(lián)系。

據《中國經(jīng)營(yíng)報》報道,慧榮科技這次的蹊蹺SSD漏洞門(mén),國產(chǎn)壯大或是誘因,疑為競爭對手刻意抹黑。

報道顯示,8月底,國內某論壇發(fā)布多篇SSD產(chǎn)品拆解評測,直指七彩虹、金泰克、臺電科技、影馳等四個(gè)品牌共七款產(chǎn)品涉嫌使用二手拆解顆粒、報廢顆粒等次品。隨后,四大廠(chǎng)商及另一家主控芯片企業(yè)群聯(lián)電子先后發(fā)聲,譴責這種惡意抹黑的行為。

其中,群聯(lián)電子董事長(cháng)潘建成稱(chēng)“黑芯”事件為群聯(lián)電子與競爭對手之戰爭所引起;而金泰克董事長(cháng)李創(chuàng )峰甚至還發(fā)布了一份《捍衛國內品牌聲明》,稱(chēng)一系列抹黑是幕后黑手想讓國產(chǎn)品牌惡意嗜殺,讓消費者不再相信國產(chǎn),讓國內存儲市場(chǎng)成為舶來(lái)品的天下。而對此次“漏洞門(mén)”事件,慧榮科技也質(zhì)疑有相關(guān)人士在進(jìn)行消息的誤導工作。

短短一個(gè)多月,四家SSD品牌商、兩家SSD主控芯片廠(chǎng)商均對外聲稱(chēng)遭到競爭對手的惡意抹黑,凸顯出國內存儲市場(chǎng)競爭激烈。此前也有SSD廠(chǎng)商工作人員向《中國經(jīng)營(yíng)報》記者表示,個(gè)別國外品牌看到國產(chǎn)企業(yè)發(fā)展迅速,因而故意采取詆毀手段進(jìn)行一系列抹黑。

自2016年三季度開(kāi)始,由于閃存顆粒出現持續性缺貨,全球SSD的價(jià)格一路上揚,在這一輪漲價(jià)潮中,老牌巨頭三星、金士頓等國外企業(yè)進(jìn)一步鞏固了其在國際市場(chǎng)上的話(huà)語(yǔ)權;但在國內市場(chǎng),部分國產(chǎn)品牌卻增速迅猛,取得了不錯的出貨成績(jì)。

國外市場(chǎng)調研機構Forward Insights的數據顯示,截至2016年底,三星與金士頓分別占據了全球SSD市場(chǎng)份額的21%、16%,兩家的消費級SSD出貨量分別超過(guò)1300萬(wàn)塊、1000萬(wàn)塊,在國際市場(chǎng)上占據著(zhù)絕對的統治地位。

但在國內市場(chǎng),情況卻出現了一定的變化。

根據博板堂統計的出貨數據顯示,截至今年5月,金士頓雖然穩坐SSD月出貨榜頭名,但從6月開(kāi)始,金泰克、臺電科技等品牌已經(jīng)將金士頓擠至第三位;三星在今年2月份還位于出貨榜的第三名,但自3月份開(kāi)始便未在出貨榜上進(jìn)入過(guò)前五名,目前臺電科技、金泰克、七彩虹、影馳等四家品牌已經(jīng)成為國內月出貨榜前五的???。很顯然,相比于售價(jià)高昂的國外品牌,國產(chǎn)廠(chǎng)商依托較低的售價(jià)在國內市場(chǎng)占據了一席之地。

但低價(jià)策略并非長(cháng)久之計,目前國產(chǎn)SSD廠(chǎng)商在整個(gè)行業(yè)鏈中只能扮演著(zhù)組裝廠(chǎng)的角色,同時(shí)國產(chǎn)存儲顆粒的量產(chǎn)時(shí)間也依舊未知,國內也尚未出現有研發(fā)能力的主控芯片廠(chǎng)商。無(wú)論是技術(shù)還是人才方面,國產(chǎn)廠(chǎng)商均落后于韓美日等幾大巨頭,如何完善產(chǎn)業(yè)環(huán)境,獲得關(guān)鍵技術(shù)和人才就成為國內存儲行業(yè)所需要考慮的首要問(wèn)題,也是中國存儲能否獲得成功的關(guān)鍵。

附:慧榮科技17日澄清說(shuō)明

臺灣臺北2017年10月17日電 / / -- 近日,針對部分網(wǎng)絡(luò )媒體對我司進(jìn)行的關(guān)于“慧榮科技產(chǎn)品型號 SM2246EN, SM2256, SM2258 的固態(tài)硬盤(pán)主控芯片或存在后門(mén)漏洞”(下稱(chēng)“漏洞”)的不實(shí)報道(下稱(chēng)“消息”),嚴重誤導用戶(hù)和消費者并擾亂市場(chǎng)經(jīng)濟秩序,對我司和客戶(hù)名譽(yù)以及我司和客戶(hù)產(chǎn)品聲譽(yù)造成重大損害。藉此,我司首先對關(guān)心慧榮科技的廣大用戶(hù)和合作伙伴表示感謝。同時(shí),針對上述“消息”,特此澄清和聲明如下:

慧榮科技公司是亞洲第一家在美國納斯達克掛牌上市的 IC 設計公司,多年來(lái)一直保持著(zhù)全球領(lǐng)先地位,備受行業(yè)內的肯定。公司自成立以來(lái),堅持以誠信、正直、守法為本,為客戶(hù)提供最完整及高品質(zhì)的產(chǎn)品與服務(wù)。公司產(chǎn)品的所有技術(shù)與規格都符合國際法規標準。搭配慧榮科技 SSD 主控方案的固態(tài)硬盤(pán),行銷(xiāo)全球各地(累計銷(xiāo)售量達到1個(gè)億),其品質(zhì)深受全球用戶(hù)的肯定。

針對網(wǎng)絡(luò )文章中提到的“漏洞”問(wèn)題, 我公司積極與相關(guān)部門(mén)取得聯(lián)系。經(jīng)過(guò)我司專(zhuān)業(yè)團隊的多方查證后,我司并未接獲能夠在任何方面證實(shí)我司產(chǎn)品存在“漏洞”的任何信息或文件。同時(shí),我司也未收到任何政府單位對我司產(chǎn)品因“消息”中所謂的“漏洞”而可能引發(fā)產(chǎn)品安全或其所涉的信息安全的書(shū)面或口頭通知、通報或詢(xún)問(wèn)。

產(chǎn)品的安全性及其所涉的信息安全是我司自設立以來(lái)所奉行的宗旨,不容妥協(xié)。為此,我司組成了專(zhuān)業(yè)團隊以積極、主動(dòng)、負責的態(tài)度及公開(kāi)的方式,同時(shí)秉持著(zhù)對廣大消費者和用戶(hù)的負責任態(tài)度以及對于事實(shí)真相的尊重,具體開(kāi)展工作如下:

我司將“消息”所涉我司產(chǎn)品提交權威檢測機構進(jìn)行“漏洞”檢測 我司業(yè)務(wù)部門(mén)已經(jīng)向用戶(hù)方面發(fā)出公告,并逐家拜訪(fǎng)消除疑惑 我司法律部門(mén)已介入,并積極取證,就本次事件可能涉及的刑事問(wèn)題向公安部門(mén)舉報 我司將積極配合相關(guān)部門(mén)和機構進(jìn)行調查,澄清事實(shí),并打擊各種擾亂市場(chǎng)經(jīng)濟秩序的行為

對于相關(guān)網(wǎng)絡(luò )媒體并未與我司針對“消息”中涉及的產(chǎn)品進(jìn)行信息核實(shí),而采取片面選用可疑的信息來(lái)源,加以帶有明顯的片面性和傾向性的敘述方法與標題,加以發(fā)布和傳播的行為,我司深表遺憾和痛心。有鑒于此,我們真誠地希望與各大媒體保持良性溝通與交流,避免由于對于不了解而產(chǎn)生的誤會(huì )行為。與此同時(shí),對于利用網(wǎng)絡(luò )造假或散布未經(jīng)求證的傳言報導,或藉此機會(huì )以損害我司聲譽(yù)的方式達到為其產(chǎn)品宣傳的惡劣市場(chǎng)競爭行為,我們也堅決抵制,并采取一切法律允許的措施,以維護并伸張我司和客戶(hù)的合法權益。

慧榮科技作為 SSD 主控方案的全球領(lǐng)先企業(yè),扎根中國市場(chǎng)的決心十分堅定,在中國市場(chǎng)深耕細作了14年,從最根本的團隊研發(fā)和人才教育開(kāi)始,在中國建立了一個(gè)優(yōu)秀的面對客戶(hù)銷(xiāo)售服務(wù)、研發(fā)和持續創(chuàng )新的團隊,培育了許多優(yōu)秀的半導體設計人才與精英?;蹣s也是華聚產(chǎn)業(yè)共同標準推動(dòng)基金會(huì )的成員,過(guò)去十幾年,積極投入兩岸共同產(chǎn)業(yè)標準的制定,為兩岸共同產(chǎn)業(yè)標準,尤其是存儲產(chǎn)品的標準化有諸多貢獻。我司堅持“合作共贏(yíng)、共同發(fā)展”,在中國各城巿布服務(wù)網(wǎng)點(diǎn),并與客戶(hù)、合作伙伴共同參與投入并推動(dòng)中國的產(chǎn)業(yè)走向國際化巿場(chǎng)。我司定將繼續本著(zhù)遵循中國及其他各國家和地區所制定的安全標準提供產(chǎn)品,并持續聆聽(tīng)客戶(hù)、合作伙伴與相關(guān)單位對我司及我司產(chǎn)品的批評、指教與監督。

特此聲明,以正視聽(tīng)。