loading...
根據網路安全專家的最新研究,華為製造的電信設備比競爭對手的設備,更容易被駭客惡意入侵。這項研究成果呼應了美國提醒各界注意華為設備具國安風險的主張。
位於俄亥俄州哥倫布市的網路安全公司Finite State完成一份最新調查報告,看過該報告的《華爾街日報》記者在報導中說,研究人員發現華為所生產的企業網路各項設備,近1萬個固件(firmware,又譯韌體)映像(image)被編碼成的超過500個變數中,逾50%至少包含一個會被入侵的漏洞。固件係指對電腦硬體組件提供動力的軟件。
研究人員將這些漏洞稱之為「潛在的後門」,可以允許具有固件知識和相應加密密鑰的攻擊者進入華為設備。
Finite State公司最近幾週將這份報告,送給美國和英國的多個政府機構的高級官員以及國會議員。
「這份報告支持了我們自2009年以來對華為的評估,該公司對其為國際客戶安裝的部分系統,一直保持隱蔽訪問」,一位看過這份報告的白宮官員告訴《華日》說:「這種隱蔽訪問使華為能夠在這些系統上記錄信息並修改數據庫,而華為一直沒有向國際客戶或當地的政府透露這種隱蔽訪問。」
Finite State公司執行長威克豪斯(Matt Wyckhouse)表示,Finite State公司對華為設備的調查是自掏腰包的工作,沒有受任何政府部門的委託,他覺得讓政策制定者了解這些問題的最佳方法是公開這份報告。他計畫本週發表這份報告,並稱:「我們希望5G是安全的。」
威克豪斯還說,根據實務經驗,本次調查發現的漏洞數量,是「我們見過的最高數字」。
一位華為官員表示,該公司歡迎對有助於提高其產品安全性的獨立研究,但是對Finite State公司的報告,表示由於尚未看到而不予置評。
看過該報告的多位白宮官員表示,調查結果顯示華為有可能公然違反了國際標準協議,故意在其產品中置入缺陷。根據該報告,華為設備被發現的一些漏洞是眾所皆知的網路安全問題,要避免這些問題並不難。
國土安全部高級網路安全官克雷布斯(Chris Krebs)表示,Finite State公司的研究更增添了對華為設備安全性的擔憂,然而華為到現在還沒有表現出要改善其設備安全性的意圖或能力,加上中共政府有可能迫使華為積極與國際5G競標。因此,「在這種情況下,目前或未來使用華為設備,都構成令人無法接受的安全風險。」他說。
「多年來,華為基本上都在挑戰國際社會能否找到該公司被指控的安全漏洞證據」,美中經濟與安全審查委員會成員威斯爾(Michael Wessel)表示,這份報告所發現的華為在其設備安裝漏洞的範圍和深度來看,華為安裝漏洞顯然是「故意的」。
知情人士表示,英國國家網路安全中心(NCSC)在看了Finite State公司的這份最新研究報告後認為,該報告與該機構今年3月發布的華為技術分析報告的內容大體上是一致的。
NCSC在3月發布的報告中,指責華為未能解決其產品中已知的安全漏洞,並警告各界該公司沒有承諾要修復這些漏洞。
美國聯邦眾議員加拉格(Mike Gallagher)說,他向來主張應該將華為視為是中共的附屬機構,在看了Finite State公司的報告後,華為設備安全漏洞的規模,還是「讓我感到吃驚」。
雖然Finite State公司的報告記錄了華為設備中廣泛存在的網路安全缺陷,但是並未在報告中指責華為故意在其產品中置入安全缺陷,或者可能為中共政府進行電子間諜活動,這點將由讀者自行判斷。華為長期以來一直否認存在這種行為。◇
