Finite State在报告中指出,华为的安全问题有多种类型,对他们的用户构成可以计量的高风险。该调查所涉及的所有固件映像中至少包含一个潜在漏洞的比例达到55%。图为华为位于东莞的生产线。
中国电信公司华为的设备不仅存在间谍隐患,安全漏洞最近也多次被曝光。一份最新调查显示,华为设备通常显示有大量已知的安全漏洞。世界各地的网络公司、安全部门、电信公司也发现,华为产品漏洞百出,各种证据浮现。
意大利Swascan警告华为漏洞
7月9日,英国科技网站The Register报导,意大利网络安全公司Swascan的安全研究团队于7月8日向该网站透露,在过去一个月内,该团队私下警告华为,其电信套件制造商的网站和在线服务存在漏洞,这些漏洞可能被利用来窃取客户信息,并破坏制造商的运营。但该团队也被告知,可利用的漏洞已及时修复。
报导说,目前尚不清楚华为网络系统的哪些部分存在风险,哪些信息可能被窃取或被篡改,制造商的哪些部分可能受到影响,以及这些漏洞是否被入侵者利用。华为公司拒绝发表评论。Swascan公司在公开华为漏洞一事上,可能因为和华为之间的不公开协议(NDA,又称保密协议),不能对此事做更多的说明。
7月7日,Swascan团队在经过华为批准的新闻声明中表示,“Swascan专家已经确定了华为基础设施和网络应用程序中存在多个关键问题。由此产生的‘负责任漏洞披露’(responsible vulnerability disclosure)显示,一些漏洞被列为关键漏洞,如果被恶意攻击者或网络犯罪分子利用,可能会影响业务的连续性、用户数据、信息安全以及服务的正常运行。”
“负责任漏洞披露”也称为有限披露,是指漏洞发现者以帮助厂商解决安全漏洞问题为出发点,将安全漏洞报告给厂商。当解决方案完备后,厂商公布漏洞同时将补丁发布给用户。
Swascan联合创始人皮尔圭多·勒泽(Pierguido Iezzi)表示无法提供更多细节,他告诉The Register记者:“抱歉,我们无法提供有关所发现漏洞的更多细节或信息。此新闻稿经由华为直接批准。”
据了解,发现了这些关键漏洞的黑客可以利用互联网上的编程失误开展攻击行动,因为该网络系统直接面向公众。
报导指出,华为只允许Swascan揭示发现的漏洞类型:即越界内存写入、越界内存读取和操作系统命令注入。关键的详细信息,包括发现的漏洞数量、补丁服务的名称、任何通用漏洞披露(CVE)编号、漏洞是否被不法之徒利用,以及何时实施补丁等,都已在由华为审查过的Swascan报告中被删除。
意大利网络安全公司Swascan的安全研究团队于7月8日向该网站透露,在过去一个月内,该团队私下警告华为其电信套件制造商的网站和在线服务存在漏洞。(陈柏州/大纪元)
最新调查揭秘 华为设备漏洞百出
6月26日,位于美国俄亥俄州哥伦布市的网络安全公司Finite State公布了一份最新的华为产品调查报告,该公司对超过150万个文件进行了分析,这些文件被嵌入在9,936个固件映像(firmware images)中,并支持华为公司网络产品线的558项产品。
Finite State在报告中指出,华为的安全问题有多种类型,对他们的用户构成可以计量的高风险。该调查所涉及的所有固件映像中至少包含一个潜在漏洞的比例达到55%。
Finite State的华为调查分析结论包括:
•无数后门漏洞例子。这些漏洞使具有固件知识或相应加密密钥的攻击者能够登录华为设备。
•华为设备通常显示有大量已知的安全漏洞。平均来说,每个被测试的设备有102个已知漏洞隐含在其固件中,增加了被攻击者攻陷的可能性。
•其中一个设备的最新版本固件包含高达1,419个已知漏洞。
•尽管声称对安全进行投资,但华为工程师被发现在构建设备时惯常性地做出糟糕安全决策,显着增加了发生严重漏洞的可能性。
•华为设备的安全性远远低于其它厂商的同类设备。
•华为曾声称无法大规模测试设备及其固件的安全属性,这种说法证明有误:Finite State的固件分析平台Iotasphere能够在36小时内处理和分析包含超过150万个文件的9,936个固件映像。
看过该报告的多位白宫官员表示,调查结果显示华为有可能公然违反了国际标准协议,故意在其产品中置入缺陷。根据该报告,华为设备被发现的一些漏洞是众所皆知的网络安全问题,要避免这些问题并不难。
看过该报告的多位白宫官员表示,调查结果显示华为有可能公然违反了国际标准协议,故意在其产品中置入缺陷。图为示意图。*
沃达丰坦诚:华为后门问题发现多年
今年4月,全球第二大移动运营商沃达丰(Vodafone)坦承,早在几年前就发现由华为供应给沃达丰旗下意大利业务的设备出现后门。
报导说,总部位于英国的沃达丰于2008年开始从华为购买wifi路由器,用于其意大利业务,后来又用于英国、德国、西班牙和葡萄牙的业务。在与华为合作后,沃达丰管理人员几乎立刻开始担心路由器的安全问题。这些问题是沃达丰在2009年10月的一个内部演示文稿的主题。该文稿指出,路由器中有26个漏洞,其中6个被认定为“关键(critical)”问题、9个被称为“重大”(major)问题。
根据2011年4月的一份报告,当年1月,沃达丰意大利分部开始对路由器进行更深入调查。沃达丰在报告中指出,华为需要删除或禁止其telnet服务,这项服务可被用来远程控制设备,是一个让华为能够获得敏感数据的后门。
沃达丰公司发现,华为的设备设有隐藏后门,容许华为在未经沃达丰的许可之下,接触该运营商在意大利业务的固网网络(fixed-line network),而该系统为数百万企业及家庭提供网络服务。
另有文件显示,沃达丰在2011年要求华为拆除家庭互联网路由器中的后门,并得到华为的保证,称问题得到解决。但进一步测试显示,安全漏洞仍然存在。彭博社说,华为明显不愿意取消后门的态度只会扩大那些正在散播的担忧,即华为设备可能对客户构成安全威胁。
除此之外,英国国家网络安全中心(National Cyber Security Centre,NCSC)在今年3月曾发布报告,指责华为未能解决其产品中已知的安全漏洞,并警告各界该公司没有承诺要修复这些漏洞。
另外,日本富士电视台在去年12月7日引述日本执政的自民党的有关官员的话透露,“日本政府在拆解华为设备后,发现了硬件中存在不必要的零件。”
