【大紀元2019年07月14日訊】(大紀元記者吳馨綜合報導)中國電信公司華為的設備不僅存在間諜隱患,安全漏洞最近也多次被曝光。一份最新調查顯示,華為設備通常顯示有大量已知的安全漏洞。世界各地的網絡公司、安全部門、電信公司也發現,華為產品漏洞百出,各種證據浮現。
意大利Swascan警告華為漏洞
7月9日,英國科技網站The Register報導,意大利網絡安全公司Swascan的安全研究團隊於7月8日向該網站透露,在過去一個月內,該團隊私下警告華為,其電信套件製造商的網站和在線服務存在漏洞,這些漏洞可能被利用來竊取客戶信息,並破壞製造商的運營。但該團隊也被告知,可利用的漏洞已及時修復。
報導說,目前尚不清楚華為網絡系統的哪些部分存在風險,哪些信息可能被竊取或被篡改,製造商的哪些部分可能受到影響,以及這些漏洞是否被入侵者利用。華為公司拒絕發表評論。Swascan公司在公開華為漏洞一事上,可能因為和華為之間的不公開協議(NDA,又稱保密協議),不能對此事做更多的說明。
7月7日,Swascan團隊在經過華為批准的新聞聲明中表示,「Swascan專家已經確定了華為基礎設施和網絡應用程序中存在多個關鍵問題。由此產生的『負責任漏洞披露』(responsible vulnerability disclosure)顯示,一些漏洞被列為關鍵漏洞,如果被惡意攻擊者或網絡犯罪分子利用,可能會影響業務的連續性、用戶數據、信息安全以及服務的正常運行。」
「負責任漏洞披露」也稱為有限披露,是指漏洞發現者以幫助廠商解決安全漏洞問題為出發點,將安全漏洞報告給廠商。當解決方案完備後,廠商公布漏洞同時將補丁發布給用戶。
Swascan聯合創始人皮爾圭多·勒澤(Pierguido Iezzi)表示無法提供更多細節,他告訴The Register記者:「抱歉,我們無法提供有關所發現漏洞的更多細節或信息。此新聞稿經由華為直接批准。」
據了解,發現了這些關鍵漏洞的黑客可以利用互聯網上的編程失誤開展攻擊行動,因為該網絡系統直接面向公眾。
報導指出,華為只允許Swascan揭示發現的漏洞類型:即越界內存寫入、越界內存讀取和操作系統命令注入。關鍵的詳細信息,包括發現的漏洞數量、補丁服務的名稱、任何通用漏洞披露(CVE)編號、漏洞是否被不法之徒利用,以及何時實施補丁等,都已在由華為審查過的Swascan報告中被刪除。
最新調查揭秘華為設備漏洞百出
6月26日,位於美國俄亥俄州哥倫布市的網絡安全公司Finite State公布了一份最新的華為產品調查報告,該公司對超過150萬個文件進行了分析,這些文件被嵌入在9,936個固件映像(firmware images)中,並支持華為公司網絡產品線的558項產品。
Finite State在報告中指出,華為的安全問題有多種類型,對他們的用戶構成可以計量的高風險。該調查所涉及的所有固件映像中至少包含一個潛在漏洞的比例達到55%。
Finite State的華為調查分析結論包括:
• 無數後門漏洞例子。這些漏洞使具有固件知識或相應加密密鑰的攻擊者能夠登錄華為設備。
• 華為設備通常顯示有大量已知的安全漏洞。平均來說,每個被測試的設備有102個已知漏洞隱含在其固件中,增加了被攻擊者攻陷的可能性。
• 其中一個設備的最新版本固件包含高達1,419個已知漏洞。
• 儘管聲稱對安全進行投資,但華為工程師被發現在構建設備時慣常性地做出糟糕安全決策,顯著增加了發生嚴重漏洞的可能性。
• 華為設備的安全性遠遠低於其它廠商的同類設備。
• 華為曾聲稱無法大規模測試設備及其固件的安全屬性,這種說法證明有誤:Finite State的固件分析平台Iotasphere能夠在36小時內處理和分析包含超過150萬個文件的9,936個固件映像。
看過該報告的多位白宮官員表示,調查結果顯示華為有可能公然違反了國際標準協議,故意在其產品中置入缺陷。根據該報告,華為設備被發現的一些漏洞是眾所皆知的網絡安全問題,要避免這些問題並不難。
沃達豐坦誠:華為後門問題發現多年
今年4月,全球第二大移動運營商沃達豐(Vodafone)坦承,早在幾年前就發現由華為供應給沃達豐旗下意大利業務的設備出現後門。
報導說,總部位於英國的沃達豐於2008年開始從華為購買wifi路由器,用於其意大利業務,後來又用於英國、德國、西班牙和葡萄牙的業務。在與華為合作後,沃達豐管理人員幾乎立刻開始擔心路由器的安全問題。這些問題是沃達豐在2009年10月的一個內部演示文稿的主題。該文稿指出,路由器中有26個漏洞,其中6個被認定為「關鍵(critical)」問題、9個被稱為「重大」(major)問題。
根據2011年4月的一份報告,當年1月,沃達豐意大利分部開始對路由器進行更深入調查。沃達豐在報告中指出,華為需要刪除或禁止其telnet服務,這項服務可被用來遠程控制設備,是一個讓華為能夠獲得敏感數據的後門。
沃達豐公司發現,華為的設備設有隱藏後門,容許華為在未經沃達豐的許可之下,接觸該運營商在意大利業務的固網網絡(fixed-line network),而該系統為數百萬企業及家庭提供網絡服務。
另有文件顯示,沃達豐在2011年要求華為拆除家庭互聯網路由器中的後門,並得到華為的保證,稱問題得到解決。但進一步測試顯示,安全漏洞仍然存在。彭博社說,華為明顯不願意取消後門的態度只會擴大那些正在散播的擔憂,即華為設備可能對客戶構成安全威脅。
除此之外,英國國家網絡安全中心(National Cyber Security Centre,NCSC)在今年3月曾發布報告,指責華為未能解決其產品中已知的安全漏洞,並警告各界該公司沒有承諾要修復這些漏洞。
另外,日本富士電視台在去年12月7日引述日本執政的自民黨的有關官員的話透露,「日本政府在拆解華為設備後,發現了硬件中存在不必要的零件。」#
責任編輯:林妍