近期,互联网上传出慧荣科技(Silicon Motion,Inc. NASDAQ:SIMO)旗下SM2246EN、M2256、SM2258三款主控芯片涉嫌存在后门漏洞,该漏洞可能会导致SSD(指固态硬盘)出现数据丢失、无法使用等故障,七彩虹、台电科技、英特尔、威刚科技(ADATA)等66家SSD厂商的多款产品被牵扯其中。

针对此事,慧荣科技多次发布公告称SSD主控芯片是为消费型与工业用途的固态硬盘产品所设计,闪存执行数据的读写功能均为接收主机指令,并无自主对外联系的功能,绝无“流言消息”所提及之风险

在昨日(10月17日),慧荣科技再度发出相关澄清消息表示,公司至今未接获能够在任何方面证实慧荣产品存在漏洞的任何资讯或档案;同时,慧荣也未收到任何政府单位对其产品因媒体报导有所谓的漏洞,而可能引发产品安全,或其所涉的资讯安全的书面或口头通知、通报或询问。

慧荣科技于1995年在美国硅谷成立,目前总部在台湾。该公司于2005年在美国NASDAQ上市,是亚洲第一家赴美挂牌的集成电路设计公司。目前,慧荣科技共为66家SSD厂商提供主控芯片,总销售已超过1亿颗,其在全球市场的份额占比约在35%左右。截至6月30日,慧荣科技营收约2.6亿美元,净利润约4754万美元。

如果此次漏洞传言属实,对慧荣科技的影响将非常巨大。

慧荣科技相关人士向媒体表示,慧荣科技已经销售超过1亿颗SSD,从未有因主控芯片发生资料安全事件;目前慧荣科技仍在调查此次传言的源头,并怀疑此事件为竞争对手刻意抹黑之作。

事件经过

9月29日,有新浪微博用户上传一张截图,显示“银监会要求核实以下情况,在生产、开发、测试等环境中,是否使用了固态硬盘,以及固态硬盘是否为台湾慧荣公司型号为‘SM2246EN’、‘SM2256’、‘SM2258’的主控芯片,如确实使用上述三种型号之一的主控芯片,请将具体信息上报”等信息。

huirong2

另外,在某BBS也流传一则排查通知截图,但该截图并无文件抬头及落款,图中信息显示,“慧荣科技SM2246EV(注:经查正确型号应为SM2246EN)、SM2256、SM2258等三款主控芯片存在额外的后门漏洞,一旦被利用,有可能造成数据泄露、破坏或无法运行等情况”。

huirong3

10月2日雷锋网发布文章《传台湾公司主控SSD藏后门,银监会要求调查》,该主控漏洞事件开始不断发酵,并在一些主流媒体的科技频道中迅速扩散开来。

针对网络传闻及报道,慧荣科技多次发布公告澄清。

9月30日,慧荣科技在一份致客户的函件中表示,相关产品的设计与质量管控均遵守包含中国在内各相关销售市场的要求,以及国际间的标准规范,经内部初步调查后发现,目前并无证据可以支持主控产品存在“传言”中提及的安全漏洞。

10月6日,慧荣科技对外公告称,相关产品绝无“流言消息”所提及之风险,并对相关不实的指控保留法律追诉权利;慧荣科技将配合有关单位澄清相关疑虑,但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。

慧荣科技工作人员解释称,“传言”指控的所谓漏洞均为行业内共通的设计,主要起保护固态硬盘及资料安全的作用,而且固态硬盘并无对外连接功能,所有的操作均需通过主机完成,在技术层面上根本不存在绕过主机直接攻击固态硬盘的可操作性。

技术上是否存在后门漏洞?

慧荣科技事件发生后,网络上争议非常大,也有部分媒体及网友通过技术分析SSD主控是否存在后门漏洞的可能。

据it168网站分析,从技术角度来看,主控芯片是无法绕过CPU自行对数据进行读写处理的,更不会泄露数据,以下为其分析过程:

1.主控芯片能自行泄露数据?

首先来简单说一下SSD的组成,目前绝大多数的SSD是由主控芯片、缓存颗粒、闪存颗粒三部分组成(部分SSD已经看不到缓存颗粒了)。主控芯片相当于CPU,负责数据的读写工作;缓存颗粒相当于内存,帮助主控让读写数据更迅速;闪存颗粒相当于硬盘,也就是存储数据的地方。

而对闪存颗粒的读写必须要经过接收主机(Host)指令才行,主控芯片是无法自行对数据进行读写处理的,并且主控芯片也不具备对外通信的功能,绝不可能绕过主机(Host)控制而泄漏储存数据,更没有绕过主机控制而导致系统瘫痪的可能,从某种角度来说,SSD完全是一个被动的角色。

2.通过自定义接口泄露数据?

那么主控芯片能否通过自定义接口泄露数据呢?回答这个问题有必要解释一下自定义接口这个东西。

所谓自定义接口(Vendor Command),指的是在SATA/PCIe规范的标准指令以外的定制化指令,是由主控芯片根据各家SSD生产厂商的要求所定义的新指令,主要针对特殊用途及工业用途的SSD,它的目的是帮助客户快速实现某种需求,比如方便质量管控等,这就有点像键盘中的快捷键,并且自定义接口在存储设备中已经是必要的基本功能了,所以自定义接口也不会是SSD泄露数据的元凶。

3.写入保护/强制擦除所有块功能会泄露数据?

主控芯片不会泄露数据,自定义接口也不会,那么会不会是SSD中的写入保护和强制擦除所有块这两个功能泄露的呢?答案依旧是否定的。

有用过U盘或者SD卡的朋友肯定知道写入保护这个功能,它的作用是让U盘或者SD卡中的数据不被更改或删除,保护原有文件,而SSD中的写入保护是出于同样的目的,当SSD外部电压不稳定时,就能启动写入保护功能,避免主机或用户写入错误数据或删除数据的可能性。

再来说说强制擦除所有块这个功能,其实这个功能适用于所有SSD或是HDD,但主要是针对工业用SSD 而设计。工业用SSD对质量要求相当严格,在用户或公司进行新旧SSD替换时,常用到强制擦除所有块这个特殊指令,它可以快速的将要淘汰的SSD中的数据清除干净,避免内部的数据被他人所使用,这也是保护SSD数据的一项重要功能。

最后文章总结:从技术角度来看,主控芯片是无法绕过CPU自行对数据进行读写处理的,更不会泄露数据,通过自定义接口或者写入保护/强制擦除所有块功能泄露数据也不成立,有些功能反倒是为保护数据而设计的。

以上为小编选取的众多相关技术分析之一,关于SSD主控是否存在后门漏洞的可能性分析,欢迎大家留言讨论。

国产SSD厂集体疑遭抹黑?

这次“漏洞门”事件牵连甚广,七彩虹、台电科技、英特尔、威刚科技(ADATA)等66家SSD厂商的多款产品被牵扯其中。

事件虽然随着慧荣科技的澄清公告渐渐平息,但有部分SSD厂商依旧受到了些许的影响。有SSD厂商向媒体透露,在“漏洞门”传言出现后,国庆节前,京东曾紧急与厂商进行过沟通,但并未提及产品下架事宜,国庆节后,京东也再未就此进行过联系。

据《中国经营报》报道,慧荣科技这次的蹊跷SSD漏洞门,国产壮大或是诱因,疑为竞争对手刻意抹黑。

报道显示,8月底,国内某论坛发布多篇SSD产品拆解评测,直指七彩虹、金泰克、台电科技、影驰等四个品牌共七款产品涉嫌使用二手拆解颗粒、报废颗粒等次品。随后,四大厂商及另一家主控芯片企业群联电子先后发声,谴责这种恶意抹黑的行为。

其中,群联电子董事长潘建成称“黑芯”事件为群联电子与竞争对手之战争所引起;而金泰克董事长李创峰甚至还发布了一份《捍卫国内品牌声明》,称一系列抹黑是幕后黑手想让国产品牌恶意嗜杀,让消费者不再相信国产,让国内存储市场成为舶来品的天下。而对此次“漏洞门”事件,慧荣科技也质疑有相关人士在进行消息的误导工作。

短短一个多月,四家SSD品牌商、两家SSD主控芯片厂商均对外声称遭到竞争对手的恶意抹黑,凸显出国内存储市场竞争激烈。此前也有SSD厂商工作人员向《中国经营报》记者表示,个别国外品牌看到国产企业发展迅速,因而故意采取诋毁手段进行一系列抹黑。

自2016年三季度开始,由于闪存颗粒出现持续性缺货,全球SSD的价格一路上扬,在这一轮涨价潮中,老牌巨头三星、金士顿等国外企业进一步巩固了其在国际市场上的话语权;但在国内市场,部分国产品牌却增速迅猛,取得了不错的出货成绩。

国外市场调研机构Forward Insights的数据显示,截至2016年底,三星与金士顿分别占据了全球SSD市场份额的21%、16%,两家的消费级SSD出货量分别超过1300万块、1000万块,在国际市场上占据着绝对的统治地位。

但在国内市场,情况却出现了一定的变化。

根据博板堂统计的出货数据显示,截至今年5月,金士顿虽然稳坐SSD月出货榜头名,但从6月开始,金泰克、台电科技等品牌已经将金士顿挤至第三位;三星在今年2月份还位于出货榜的第三名,但自3月份开始便未在出货榜上进入过前五名,目前台电科技、金泰克、七彩虹、影驰等四家品牌已经成为国内月出货榜前五的常客。很显然,相比于售价高昂的国外品牌,国产厂商依托较低的售价在国内市场占据了一席之地。

但低价策略并非长久之计,目前国产SSD厂商在整个行业链中只能扮演着组装厂的角色,同时国产存储颗粒的量产时间也依旧未知,国内也尚未出现有研发能力的主控芯片厂商。无论是技术还是人才方面,国产厂商均落后于韩美日等几大巨头,如何完善产业环境,获得关键技术和人才就成为国内存储行业所需要考虑的首要问题,也是中国存储能否获得成功的关键。

附:慧荣科技17日澄清说明

台湾台北2017年10月17日电 / / -- 近日,针对部分网络媒体对我司进行的关于“慧荣科技产品型号 SM2246EN, SM2256, SM2258 的固态硬盘主控芯片或存在后门漏洞”(下称“漏洞”)的不实报道(下称“消息”),严重误导用户和消费者并扰乱市场经济秩序,对我司和客户名誉以及我司和客户产品声誉造成重大损害。藉此,我司首先对关心慧荣科技的广大用户和合作伙伴表示感谢。同时,针对上述“消息”,特此澄清和声明如下:

慧荣科技公司是亚洲第一家在美国纳斯达克挂牌上市的 IC 设计公司,多年来一直保持着全球领先地位,备受行业内的肯定。公司自成立以来,坚持以诚信、正直、守法为本,为客户提供最完整及高品质的产品与服务。公司产品的所有技术与规格都符合国际法规标准。搭配慧荣科技 SSD 主控方案的固态硬盘,行销全球各地(累计销售量达到1个亿),其品质深受全球用户的肯定。

针对网络文章中提到的“漏洞”问题, 我公司积极与相关部门取得联系。经过我司专业团队的多方查证后,我司并未接获能够在任何方面证实我司产品存在“漏洞”的任何信息或文件。同时,我司也未收到任何政府单位对我司产品因“消息”中所谓的“漏洞”而可能引发产品安全或其所涉的信息安全的书面或口头通知、通报或询问。

产品的安全性及其所涉的信息安全是我司自设立以来所奉行的宗旨,不容妥协。为此,我司组成了专业团队以积极、主动、负责的态度及公开的方式,同时秉持着对广大消费者和用户的负责任态度以及对于事实真相的尊重,具体开展工作如下:

我司将“消息”所涉我司产品提交权威检测机构进行“漏洞”检测 我司业务部门已经向用户方面发出公告,并逐家拜访消除疑惑 我司法律部门已介入,并积极取证,就本次事件可能涉及的刑事问题向公安部门举报 我司将积极配合相关部门和机构进行调查,澄清事实,并打击各种扰乱市场经济秩序的行为

对于相关网络媒体并未与我司针对“消息”中涉及的产品进行信息核实,而采取片面选用可疑的信息来源,加以带有明显的片面性和倾向性的叙述方法与标题,加以发布和传播的行为,我司深表遗憾和痛心。有鉴于此,我们真诚地希望与各大媒体保持良性沟通与交流,避免由于对于不了解而产生的误会行为。与此同时,对于利用网络造假或散布未经求证的传言报导,或藉此机会以损害我司声誉的方式达到为其产品宣传的恶劣市场竞争行为,我们也坚决抵制,并采取一切法律允许的措施,以维护并伸张我司和客户的合法权益。

慧荣科技作为 SSD 主控方案的全球领先企业,扎根中国市场的决心十分坚定,在中国市场深耕细作了14年,从最根本的团队研发和人才教育开始,在中国建立了一个优秀的面对客户销售服务、研发和持续创新的团队,培育了许多优秀的半导体设计人才与精英。慧荣也是华聚产业共同标准推动基金会的成员,过去十几年,积极投入两岸共同产业标准的制定,为两岸共同产业标准,尤其是存储产品的标准化有诸多贡献。我司坚持“合作共赢、共同发展”,在中国各城巿布服务网点,并与客户、合作伙伴共同参与投入并推动中国的产业走向国际化巿场。我司定将继续本着遵循中国及其他各国家和地区所制定的安全标准提供产品,并持续聆听客户、合作伙伴与相关单位对我司及我司产品的批评、指教与监督。

特此声明,以正视听。

二维码