根据网络安全专家的最新研究,华为制造的电信设备比竞争对手的设备,更容易被黑客恶意入侵。图为示意照。(陈柏州/大纪元)
根据网络安全专家的最新研究,华为制造的电信设备比竞争对手的设备,更容易被黑客恶意入侵。这项研究成果呼应了美国提醒各界注意华为设备具国安风险的主张。
位于俄亥俄州哥伦布市的网络安全公司Finite State完成一份最新调查报告,看过该报告的《华尔街日报》记者在报导中说,研究人员发现华为所生产的企业网络各项设备,近10000个固件(firmware,又译韧体)映像(image)被编码成的超过500个变数中,逾50%至少包含一个会被入侵的漏洞。固件系指对计算机硬体组件提供动力的软件。
研究人员将这些漏洞称之为“潜在的后门”,可以允许具有固件知识和相应加密密钥的攻击者进入华为设备。
Finite State公司最近几周将这份报告,送给美国和英国的多个政府机构的高级官员以及国会议员。
“这份报告支持了我们自2009年以来对华为的评估,该公司对其为国际客户安装的部分系统,一直保持隐蔽访问”,一位看过这份报告的白宫官员告诉《华日》说:“这种隐蔽访问使华为能够在这些系统上记录信息并修改数据库,而华为一直没有向国际客户或当地的政府透露这种隐蔽访问。”
Finite State公司首席执行官马特・威克豪斯(Matt Wyckhouse)表示,Finite State公司对华为设备的调查是自掏腰包的工作,没有受任何政府部门的委托,他觉得让政策制定者了解这些问题的最佳方法是公开这份报告。他计划本周发表这份报告,并称:“我们希望5G是安全的。”
威克豪斯还说,根据实务经验,本次调查发现的漏洞数量,是“我们见过的最高数字”。
一位华为官员表示,该公司欢迎对有助于提高其产品安全性的独立研究,但是对Finite State公司的报告,表示由于尚未看到而不予置评。
看过该报告的多位白宫官员表示,调查结果显示华为有可能公然违反了国际标准协议,故意在其产品中置入缺陷。根据该报告,华为设备被发现的一些漏洞是众所皆知的网络安全问题,要避免这些问题并不难。
国土安全部高级网络安全官克里斯・克雷布斯(Chris Krebs)表示,Finite State公司的研究更增添了对华为设备安全性的担忧,然而华为到现在还没有表现出要改善其设备安全性的意图或能力,加上中共政府有可能迫使华为积极与国际5G竞标。因此,“在这种情况下,目前或未来使用华为设备,都构成令人无法接受的安全风险。”他说。
“多年来,华为基本上都在挑战国际社会能否找到该公司被指控的安全漏洞证据”,美中经济与安全审查委员会(U.S.-China Economic and Security Review Commission)成员迈克尔・威斯尔(Michael Wessel)表示,这份报告所发现的华为在其设备安装漏洞的范围和深度来看,华为安装漏洞显然是“故意的”。
知情人士表示,英国国家网络安全中心(National Cyber Security Centre,NCSC)在看了Finite State公司的这份最新研究报告后认为,该报告与该机构今年3月发布的华为技术分析报告的内容大体上是一致的。
NCSC在3月发布的报告中,指责华为未能解决其产品中已知的安全漏洞,并警告各界该公司没有承诺要修复这些漏洞。
美国联邦众议员迈克・加拉格尔(Mike Gallagher)说,他向来主张应该将华为视为是中共的附属机构,在看了Finite State公司的报告后,华为设备安全漏洞的规模,还是“让我感到吃惊”。
美国政府2012年对华为所做的安全风险调查,虽然没有找到明确证据表明该公司是中共的间谍工具,但是结论是其设备存在网络安全风险,有许多会被黑客利用的漏洞。
虽然Finite State公司的报告记录了华为设备中广泛存在的网络安全缺陷,但是并未在报告中指责华为故意在其产品中置入安全缺陷,或者可能为中共政府进行电子间谍活动,这点将由读者自行判断。华为长期以来一直否认存在这种行为。
