香港股市 已收市

報告指華為設備遠較競爭對手產品更易受駭客攻擊

華為是全球最大的電訊設備供應商,也是下一代5G無線技術的領軍企業。 圖片來源:PHOTO: ALY SONG/REUTERS

根據網絡安全專家的一項最新研究,相比競爭對手的設備,華為技術有限公司(Huawei Technologies Co.)製造的電訊設備更有可能存在可以被駭客惡意利用的漏洞。美國高級官員表示,這份研究似乎可信。

研究人員發現,在他們測試的500多種企業網絡設備的近1萬個韌體中,有超過一半至少包含一個可能被利用的漏洞。韌體是可以驅動電腦硬件組件的軟件。

這些測試結果被編入了一份新報告,這份報告已於最近幾周呈交給美國和英國多個政府機構的高級官員和議員。報告之所以引人注目,不僅是因為調查結果本身,還因為這份報告在特朗普政府官員中間廣泛傳閱。這些官員們認為,報告進一步印證了他們針對華為的政策決定是合理的。

一位看過這份報告的白宮官員表示,報告支持了美國的判斷,即2009年以來,華為在為國際客戶安裝的部分系統中一直留有隱蔽通道。這位官員說,華為並未向客戶或地方政府披露這條隱蔽通道,這條通道允許華為在這些本地系統中記錄資訊和修改數據庫。

《華爾街日報》(The Wall Street Journal)看到的這份報告是由俄亥俄州哥倫布市的網絡安全公司Finite State編寫的。

雖然這份報告記錄了在華為設備中發現的大量網絡安全漏洞,以及據稱由華為工程師們在安全方面做出的一系列糟糕的決定,但並沒有指責華為故意在其產品中植入漏洞,亦沒有直接回應美國關於華為可能為中國政府從事電子間諜活動的指控。長期以來,華為一直否認這一說法。

一位華為高層表示,公司對有助於提高產品安全性的獨立研究表示歡迎,但補充說,他無法就Finite State報告中的細節置評,因為這家公司沒有向華為分享全部內容。這位華為高層表示,如果沒有細節,他們無法對分析的專業性和穩健性發表評論。

華為總部位於深圳,是全球最大的電訊設備供應商,亦是下一代5G無線技術的領導者之一。華為已成為中美兩國之間不斷升級的技術爭奪風波的重點,尤其是在5G技術臨近之際。

美國商務部5月份以擔心國家安全為由將華為列入「實體清單」,禁止企業在未獲得美國政府批準的情況下向華為提供美國原產技術。

Finite State行政總裁懷克豪斯(Matt Wyckhouse)於2017年與他人聯合創辦了這家公司,之前他曾在附近一家私營的非牟利性應用科學技術公司Battelle工作了近13年。Battelle從事私營和公共領域的研究工作。

身為電腦科學家的懷克豪斯曾在Battelle旗下的國家安全部門工作,他表示Finite State是出於公益做這項工作的,並不代表任何政府。Battelle的國家安全部門負責處理國防和情報部門合同。懷克豪斯還表示,他認為讓政策制定者了解這一問題的最好辦法是將研究結果公諸於眾。他計劃於本周公開發表其研究成果。

懷克豪斯稱:「我們希望5G是安全的」。

Finite State表示,該公司使用專有的自動化系統,對華為企業網絡產品線內558種產品的近1萬個韌體中嵌入的超過150萬個獨特文件做了分析。

Finite State表示,華為設備的漏洞發現率大大高於競爭對手設備的平均水平,另外,在被測試的韌體中,有55%至少存在一個被報告作者描述為「潛在後門」的漏洞,這類漏洞能讓了解相關韌體和密鑰的攻擊者登入設備。

這份報告包含了一個研究案例,將華為一款高端網絡交換機與Arista Networks Inc. (ANET)和瞻博網絡(Juniper Networks Inc., JNPR)的類似設備做了比較。研究發現,在九個比較類別中,華為的設備在六個類別上含有更高的風險因素,而且整體上高出不少。懷克豪斯表示,根據他們的經驗,總體而言,這些是他們見過的最高的數字。

據案例研究中的一個例子顯示,與Finite State的全部固件數據集相比,華為的網絡交換機使用硬編碼默認密碼的認證數量的風險百分比為91%。相比之下,Arista和瞻博網絡設備的風險百分比是0%。

美國國土安全部負責網絡安全的最高級別官員克雷布斯(Chris Krebs)說,Finite State的研究加劇了人們對對華為設備的擔憂,並且印證了這樣一個結論:華為還沒有展示出要改善產品安全的意願或能力。

克雷布斯說,在建造、部署並維護可信賴的、安全的設備方面,華為沒有表現出相應的技術成熟度,亦缺乏這樣做的決心,而且,考慮到中國政府可能施加影響,迫使像華為這樣的企業尊令行事,這種擔憂又進一步加劇,他們認為,無論是現在還是未來,使用華為設備都存在不可接受的風險。

審閱了Finite State這份報告的白宮官員表示,這些結果揭示出華為公然違反標準規定。他們說,報告中發現的問題還暗示華為可能故意讓產品設計包含一些漏洞。

如報告發現的一些漏洞是已經很出名的網絡安全問題,並不難避免。報告指出,在測試的設備中,29%的設備至少有一個編碼進韌體的默認用戶名和密碼,如果相關的認證資訊沒有修改,惡意行為者就能輕易連入這些設備。

一個特別不同尋常的發現是,至少在一個案例中,當用戶用一個新版本的韌體給網絡交換機加入修補程式之後,安全問題反而比被更換掉的已經使用了兩年的韌體版本大幅惡化了。修補程式本來是為了減少網絡安全漏洞,但對比兩個版本會發現,在被衡量的九個類別中,新版本在七個類別上表現反倒更差。

美中經濟和安全審議委員會(U.S.-China Economic and Security Review Commission)成員韋塞爾(Michael Wessel)說,多年來,華為事實上是在向國際社會公然挑戰,認為國際社會無法發現這些經常在產品使用中暴露出來的安全漏洞。他表示:「從Finite State發現的漏洞的範圍和程度來看,很難說這不是故意的。」美中經濟和安全審議委員會是一個由美國兩黨人士組成的機構,負責向國會提供建議。

知情人士表示,英國國家網絡安全中心(National Cyber Security Centre)亦審閱了Finite State的研究報告,認為基本上與他們自己在3月份發布的報告中的技術分析一致。英國的報告指責華為多次未能解決其產品中的已知安全漏洞,還就華為未顯示出修復相關漏洞的決心告誡了該公司。

美國政府2012年對華為的相關安全風險進行了一項評估,雖然沒有找到證明該公司被中國用作間諜工具的明確證據,但得出的結論是,因為存在許多可能被駭客利用的漏洞,華為設備構成了網絡安全風險。

威斯康星州共和黨眾議員加拉格爾(Mike Gallagher)表示,這份報告凸顯了國會議員和其他人阻止華為獲得全球電信供應鏈主導地位的緊迫性。

加拉格爾表示:「我一直認為美國應該把華為當作中共的附屬機構,但就連我也被報告中揭示的華為網絡架構內部的安全漏洞之多嚇了一跳。」他在今年早些時候提出了針對中國電訊設備企業的議案。

撰文:Kate O’Keeffe / Dustin Volz

(本文版權歸道瓊斯公司所有,未經許可不得翻譯或轉載。)

更多精彩文章:

聯邦快遞就限制華為起訴美國商務部

全球電訊商遭攻擊,疑為中國駭客所為

做空人民幣不成?不妨試試韓圓

中美貿易談判雙方牽頭人通話

Naspers對騰訊的投資變成了一個棘手的財務問題