現在SSD固態(tài)硬盤(pán)可以說(shuō)是順利地普及開(kāi)來(lái)，大家購買(mǎi)電腦都會(huì )優(yōu)先考慮，性?xún)r(jià)比高的國產(chǎn)SSD自然立了大功，但最近麻煩不斷，先是互相攻擊拆機芯片、黑片閃存，現在慧榮SSD主控芯片安全漏洞曝光，又陷入了“后門(mén)風(fēng)波”。10月初，百度貼吧、新浪微博和天涯社區等多個(gè)媒體網(wǎng)站有網(wǎng)友爆料，銀監會(huì )要求排查核實(shí)在生產(chǎn)、開(kāi)發(fā)、測試等環(huán)境中是否使用了臺灣慧榮（SMI）公司的主控芯片，型號涉及SM2246EN、SM2256、SM2258。

慧榮SSD主控芯片安全漏洞曝光，慧榮回應：不存在的　圖1

　　這個(gè)消息一出，馬上在網(wǎng)上炸開(kāi)了鍋，還有知情微博網(wǎng)友提供了一張SMI公司致客戶(hù)函。函件中根據網(wǎng)上的消息進(jìn)行了針對性的說(shuō)明，表示將與消息部門(mén)合作，但認為目前并無(wú)證據支持網(wǎng)傳消息中所提及的安全漏洞，堅稱(chēng)其一直信守質(zhì)量承諾，并會(huì )對所生產(chǎn)產(chǎn)品負責到底。

慧榮SSD主控芯片安全漏洞曝光，慧榮回應：不存在的　圖2

　　事件持續發(fā)酵，某BBS上流傳了一張消息中所提及的排除通知細節內容。通知中給出了此次排除的緣由。此次所涉及的SSD主控型號存在后門(mén)漏洞，一旦被利用，可能會(huì )造成數據泄露，破壞或系統無(wú)法運行。漏洞基本原理是，芯片預留了自定義的接口，可以注入“強制寫(xiě)保護”命令，使得設備無(wú)法再寫(xiě)入數據，又可注入“強制擦除所有塊”命令，使得設備所有數據乃至包含固件都被擦除。通知中還列舉了涉及的產(chǎn)品和廠(chǎng)商。

慧榮SSD主控芯片安全漏洞曝光，慧榮回應：不存在的　圖3

　　10月5日，SMI在官網(wǎng)上發(fā)布了一則《鄭重聲明》，聲明中強調其所設計的SSD主控絕無(wú)后門(mén)漏洞風(fēng)險。SMI提供數據表示已銷(xiāo)售超過(guò)1億顆主控，并沒(méi)有發(fā)生過(guò)數據安全事件，并否認“流言消息”中所提及的風(fēng)險，并認為是惡意的市場(chǎng)競爭行為。

慧榮SSD主控芯片安全漏洞曝光，慧榮回應：不存在的　圖4

　　作為一個(gè)存儲行業(yè)資深從業(yè)者，我認為能驚動(dòng)銀監會(huì )的事件并沒(méi)有SMI發(fā)布的聲明中那么簡(jiǎn)單。目前市場(chǎng)中常見(jiàn)的主控其實(shí)都在固件啟動(dòng)前先執行一段初始化代碼，完成后再啟動(dòng)固件并交出控制權。初始化代碼時(shí)便可以注入一些廠(chǎng)商自定義的命令。固件啟動(dòng)后，會(huì )接受相關(guān)協(xié)議中所定義的標準主機（HOST）讀寫(xiě)命令，除此之外，固件開(kāi)發(fā)團隊還可能會(huì )留下幾個(gè)用于工程維護的廠(chǎng)商自定義命令，其中可能便涉及到消息中所指的“強制寫(xiě)保護”和“強制擦除所有塊”命令（由于沒(méi)有樣品和實(shí)驗條件，這里描述的是一種SSD主控的普遍性和可能性）。SMI發(fā)布這個(gè)聲明中很多論點(diǎn)并沒(méi)有提供依據，無(wú)法令人信服。但堅持對產(chǎn)品負責到底的行為是值得我們企業(yè)學(xué)習的。

　　綜觀(guān)最近爆出多個(gè)些芯片后門(mén)漏洞新聞，不難發(fā)現，這些芯片設計技術(shù)都沒(méi)有掌握在我們手里，在半導體領(lǐng)域到處處于被動(dòng)狀態(tài)，被他人牽著(zhù)鼻子走。但我們也看到了曙光，國家已經(jīng)發(fā)現了這個(gè)不足，正在加速追趕，為此還成立了國家大基金，用來(lái)發(fā)展中國的半導體。任重而道遠！