【Patreon文章】Call機供應鏈攻擊——有先例．很罕見

［全文可訂閱到Patreon閱讀；如果想支持網主更新本blog、Twitter、Facebook等平台，歡迎訂閱我的Patreon，月費只是7.21美元］

有人（其實一定是以色列）向黎巴嫩真主黨發動「call機連環爆炸」襲擊，目前估計最大機會是在call機做了手腳，擅自在機中加入了炸藥。這是保安專家一直警告會出現的供應鏈攻擊，這種攻擊有先例，以色列也做過不少，但像今次事例卻很罕見。

首先，之前同類襲擊沒有這麼大規模。而且，坊間一般所說的供應鏈攻擊是指數碼攻擊，並非今次的硬件攻擊。

供應鏈攻擊一般分為3種，包括硬件、軟件和韌體（firmware，另譯固件），最常見的是軟件攻擊，最著名的例子是震網（Stuxnet），這是一種Windows平台上的電腦蠕蟲，是美國在以色列協助研發出來的數碼武器，成功破壞伊朗納坦茲的核設施，令伊朗核計劃進度推遲。

軟件的攻擊可由黑客遙距入侵電腦系統來完成，硬件攻擊卻一定要有人實際對這些裝置做手腳（或者在零件和原料供貨上扮作供應商），一般需要實際更改裝置的微碼，或者在電路板添加另一個組件，以便控制相關裝置或生產程序，所以硬件供應鏈攻擊是很高難度的。

除非在生產過程中就出手，否則要在這些call機、對講機「正常出貨」後，在送貨期間截取這批貨，秘密改裝數以千計的裝置，難度可想而知。

供應鏈攻擊一向存在，但以色列把這個風險「發揚光大」，由國家級機構出手，影響理論上面向消費者的產品，這令大家對各類「正常」日用品都有戒心，擔心被加入炸藥或其他什麼奇怪東西。

現在電子裝置流行，又有物聯網（IoT），很多物品互相連繫，例如手機可以控制家中的電燈開關，要遙距控制這些裝置——竊聽、幫你駕駛中的汽車扭軚盤撞車、甚至引爆，其實不難。

可以想像，美國等西方國家一定有人會問，如果中國也像以色列，對出口西方的產品的供應鏈做手腳，這對西方構成嚴重國安風險；中國也同樣會對西方有這種質疑，甚至積極向發展中國家灌輸這種疑慮。

這代表跨國貿易進一步增添國家安全的色彩，零部件最受關注，當中又以電子零件最關鍵。以晶片為例，美國目前只就最高端、可作AI用途的晶片限制出口至中國，但如果美國擔心中國進行供應鏈攻擊的話，那就要同時限制大部份中低端中國晶片進口，限制國內生產、甚至進口至美國的產品不能用中國晶片。