登录 / 注册
IT168内存硬盘频道
IT168首页 > 内存硬盘 > 内存硬盘评论 > 正文

理性分析慧荣SMI主控是否存在后门漏洞

2017-10-13 18:23    it168网站原创  作者: 赵华铭 编辑: 赵华铭

  【IT168 评论】近日,网络上一则银监会要求相关部门核实并上报固态硬盘中是否使用了台湾慧荣SM2246EN、SM2256、SM2258主控的消息引起广泛关注,排查的原因指向慧荣这三款主控存在后门漏洞,可能会造成数据泄露甚至破坏系统的风险。

理性分析慧荣SMI主控是否存在后门漏洞

  慧荣科技也是在第一时间发布了相关声明,称自行设计的SSD主控绝无后门漏洞的风险,并且表示已销售超过1亿颗的SSD主控,尚无任何一件因慧荣主控而发生的资料安全危机事件。

理性分析慧荣SMI主控是否存在后门漏洞

  我们暂且不考虑银监会要求核实主控这条消息的真实性,对于大家广泛关注的数据安全,我们有必要理性地分析一下SSD主控是否存在后门漏洞的可能。

  一、主控芯片能自行泄露数据?

  首先来简单说一下SSD的组成,目前绝大多数的SSD是由主控芯片、缓存颗粒、闪存颗粒三部分组成(部分SSD已经看不到缓存颗粒了)。主控芯片相当于CPU,负责数据的读写工作;缓存颗粒相当于内存,帮助主控让读写数据更迅速;闪存颗粒相当于硬盘,也就是存储数据的地方。

理性分析慧荣SMI主控是否存在后门漏洞

  而对闪存颗粒的读写必须要经过接收主机(Host)指令才行,主控芯片是无法自行对数据进行读写处理的,并且主控芯片也不具备对外通信的功能,绝不可能绕过主机(Host)控制而泄漏储存数据,更没有绕过主机控制而导致系统瘫痪的可能,从某种角度来说,SSD完全是一个被动的角色。

  二、通过自定义接口泄露数据?

  那么主控芯片能否通过自定义接口泄露数据呢?回答这个问题有必要解释一下自定义接口这个东西。

理性分析慧荣SMI主控是否存在后门漏洞

  所谓自定义接口(Vendor Command),指的是在SATA/PCIe规范的标准指令以外的定制化指令,是由主控芯片根据各家SSD生产厂商的要求所定义的新指令,主要针对特殊用途及工业用途的SSD,它的目的是帮助客户快速实现某种需求,比如方便质量管控等,这就有点像键盘中的快捷键,并且自定义接口在存储设备中已经是必要的基本功能了,所以自定义接口也不会是SSD泄露数据的元凶。

  三、写入保护/强制擦除所有块功能会泄露数据?

  主控芯片不会泄露数据,自定义接口也不会,那么会不会是SSD中的写入保护和强制擦除所有块这两个功能泄露的呢?答案依旧是否定的。

理性分析慧荣SMI主控是否存在后门漏洞

  有用过U盘或者SD卡的朋友肯定知道写入保护这个功能,它的作用是让U盘或者SD卡中的数据不被更改或删除,保护原有文件,而SSD中的写入保护是出于同样的目的,当SSD外部电压不稳定时,就能启动写入保护功能,避免主机或用户写入错误数据或删除数据的可能性。

理性分析慧荣SMI主控是否存在后门漏洞

  再来说说强制擦除所有块这个功能,其实这个功能适用于所有SSD或是HDD,但主要是针对工业用SSD 而设计。工业用SSD对质量要求相当严格,在用户或公司进行新旧SSD替换时,常用到强制擦除所有块这个特殊指令,它可以快速的将要淘汰的SSD中的数据清除干净,避免内部的数据被他人所使用,这也是保护SSD数据的一项重要功能。

  总之,从技术角度来看,主控芯片是无法绕过CPU自行对数据进行读写处理的,更不会泄露数据,通过自定义接口或者写入保护/强制擦除所有块功能泄露数据也不成立,有些功能反倒是为保护数据而设计的,所以有关慧荣主控存在后门漏洞的疑点似乎都不攻自破。关于这个事件的后续动态我们也会密切关注,大家还是不要盲目跟风,持续观望为好。

相关文章
  • 试客优秀文章
  • 热门话题
编辑推荐
首页 评论 返回顶部