當硬體廠商發現有任何安全漏洞時,正常做法就是先通知主要的合作伙伴、品牌及相關持份者,讓他們有足夠時間預先準備好修正更新,才公開向大眾宣布漏洞問題。但究竟哪些公司可以優先在事件爆發前獲得通知呢?今年一月初爆發的 Meltdown 和 Spectre CPU 安全漏洞,資訊科技界就指責 Intel 為何在事件公開前,預先讓中國政府知悉,懷疑 Intel 的做法可讓中國政府在修正檔推出之前,有機可乘,有充足時間準備好如何利用漏洞來竊取資料。
預早通知 Lenovo 及阿里巴巴可令中國駭客有機可乘?
事件要數到大半年前, Google Project Zero 安全團隊在 2017 年 6 月發現了 Meltdown 和 Spectre CPU 安全漏洞,當時 Intel 計劃在 2018 年 1 月 9 日向公眾宣佈問題,讓主要的合作品牌有半年時間寫好修正檔,惟英國媒體 The Register 就在 2018 年 1 月 3 日揭露問題,令科技界陣腳大亂。雖然 Intel 沒有公佈預早獲知的名單包含哪些持份者,但消息指 Lenovo 及阿里巴巴這兩間中國公司都在名單上,而前美國國家安全局員工 Jake Williams 就表示「幾乎能確定」中國政府也預先知道 Meltdown 和 Spectre 漏洞,因為中國政府一直都有監控 Intel 與中國科技公司之間的溝通。有說法指,過往有中國政府相關的駭客,濫用軟件漏洞來監控、利用人民的資料,因此外界擔心今次會否有中國駭客以同樣方式濫用 Meltdown 和 Spectre 漏洞。
各方對事件之回應
其實至今都仍未有實質證據指有任何人,包括中國政府,濫用了 Meltdown 和 Spectre 漏洞來竊取資料。 Lenovo 承認他們在 1 月 3 日之前已知道有關漏洞事宜,所以能在 1 月 3 日及時發佈聲明應對,但早前已簽了保密協議,承諾不向第三方泄露漏洞機密;而阿里巴巴的發言人則拒絕回答公司何時知悉漏洞事件,並認為外界覺得阿里巴巴會與中國政府分享消息的想法,完全是純粹推測、是毫無根據的指控;中國政府則未有回應事件。 Intel 就表示由於漏洞提早被公布出來,所以未有充足時間通知美國政府等所有持份者。
Intel 應該預早通知誰?
其實 CPU 廠商該以甚麼先後次序通知不同的持份者及合作品牌,並沒有固定的規則,而在這次事件中, Intel 確實是需要通知各大主要品牌,讓他們及早準備修正檔,一旦事件被公開,亦能保護全球大部分裝置。但 Intel 又很難取捨哪些是「大」品牌,可在事件爆發前準備好公關工作,哪些是「小」品牌,要被迫在事件爆發後才臨急開始寫修正檔,因為一旦通知太多品牌,就很易洩露消息出去。不過可以肯定的是, Intel 應該沒預料是次通知次序會惹起科技界如此不滿及擔憂,你又認為 Intel 應該在事前預早通知中資科技公司嗎?
Source:The Wall Street Journal、Engadget