Intel预早通知中资公司CPU漏洞外界忧更新前已被中国利用

当硬件厂商发现有任何安全漏洞时，正常做法就是先通知主要的合作伙伴、品牌及相关持份者，让他们有足够时间预先准备好修正更新，才公开向大众宣布漏洞问题。但究竟哪些公司可以优先在事件爆发前获得通知呢？今年一月初爆发的 Meltdown 和 Spectre CPU 安全漏洞，资讯科技界就指责 Intel 为何在事件公开前，预先让中国政府知悉，怀疑 Intel 的做法可让中国政府在修正档推出之前，有机可乘，有充足时间准备好如何利用漏洞来窃取资料。

关于 Meltdown 和 Spectre CPU 漏洞，你认为 Intel 应先通知哪些持份者？

预早通知 Lenovo 及阿里巴巴可令中国骇客有机可乘？

事件要数到大半年前， Google Project Zero 安全团队在 2017 年 6 月发现了 Meltdown 和 Spectre CPU 安全漏洞，当时 Intel 计划在 2018 年 1 月 9 日向公众宣布问题，让主要的合作品牌有半年时间写好修正档，惟英国媒体 The Register 就在 2018 年 1 月 3 日揭露问题，令科技界阵脚大乱。虽然 Intel 没有公布预早获知的名单包含哪些持份者，但消息指 Lenovo 及阿里巴巴这两间中国公司都在名单上，而前美国国家安全局员工 Jake Williams 就表示“几乎能确定”中国政府也预先知道 Meltdown 和 Spectre 漏洞，因为中国政府一直都有监控 Intel 与中国科技公司之间的沟通。有说法指，过往有中国政府相关的骇客，滥用软件漏洞来监控、利用人民的资料，因此外界担心今次会否有中国骇客以同样方式滥用 Meltdown 和 Spectre 漏洞。

各方对事件之回应

其实至今都仍未有实质证据指有任何人，包括中国政府，滥用了 Meltdown 和 Spectre 漏洞来窃取资料。 Lenovo 承认他们在 1 月 3 日之前已知道有关漏洞事宜，所以能在 1 月 3 日及时发布声明应对，但早前已签了保密协议，承诺不向第三方泄露漏洞机密；而阿里巴巴的发言人则拒绝回答公司何时知悉漏洞事件，并认为外界觉得阿里巴巴会与中国政府分享消息的想法，完全是纯粹推测、是毫无根据的指控；中国政府则未有回应事件。 Intel 就表示由于漏洞提早被公布出来，所以未有充足时间通知美国政府等所有持份者。

Intel 应该预早通知谁？

其实 CPU 厂商该以什么先后次序通知不同的持份者及合作品牌，并没有固定的规则，而在这次事件中， Intel 确实是需要通知各大主要品牌，让他们及早准备修正档，一旦事件被公开，亦能保护全球大部分装置。但 Intel 又很难取舍哪些是“大”品牌，可在事件爆发前准备好公关工作，哪些是“小”品牌，要被迫在事件爆发后才临急开始写修正档，因为一旦通知太多品牌，就很易泄露消息出去。不过可以肯定的是， Intel 应该没预料是次通知次序会惹起科技界如此不满及担忧，你又认为 Intel 应该在事前预早通知中资科技公司吗？

Source：The Wall Street Journal、Engadget