美國國防部國防創新委員會(Defense Innovation Board)4月發佈的最新報告指出,全球有多種設備被發現存在後門或安全漏洞,其中許多似與中共情報界迫使公司洩露中國國內用戶的信息要求有關。

報告列舉兩個最新的案例,一個是芬蘭企業諾基亞的安卓(Android)手機被發現存在後門,會將各種數據發送到中國電信的網絡服務器。

報告說,諾基亞將後門置入面向中國境內銷售的手機中,但後來意外將此代碼安裝到它(在其它國家銷售)的同款設備上。

諾基亞出問題的手機是諾基亞7,於2017年10月在中國發佈,據悉是諾基亞第一款採用3D玻璃熱壓成型技術的智能手機。2018年,新版諾基亞7.1手機在美國發佈。

國防部列舉的第二個案例是2018年,中國錄像頭供應商雄邁(Xiongmai)的軟件被發現含有一個名為「tluafed」(反向默認)的無證後門用戶,可訪問數百萬台錄像機。

通過ZoomEye搜索引擎,能得到200萬的雄邁設備暴露在公網的資料,通過枚舉Cloud ID,更能訪問約900萬雄邁設備;且該設備還存在著硬編碼憑證和遠程代碼執行漏洞,若被利用傳播殭屍網絡,將會給網絡空間造成巨大危害。

國防部的報告提及,據信,雄邁的錄像頭漏洞與驅動錄像頭的華為海思(HiSilicon)SoC晶片有關,該晶片為軟件開發庫提供一種哈希算法。

據大陸知乎專欄作家寧南山統計,在IP錄像頭的SoC晶片領域,華為海思是市場的霸主,中國60%以上的IP錄像頭晶片都來自海思。在與IP錄像頭配合的後段NVR設備的晶片方面,海思也佔據了大部份份額。而在和模擬錄像頭配合的後段DVR晶片領域,華為海思同樣是中國市場霸主,在2014年就佔到了中國市場79%的份額。

美國擔憂中共利用漏洞搞對外監控

「這些事件和其它事件都表明,中國(中共)機構可能要求運往中國的設備設置後門准入,以協助其內部監控活動。」報告寫道。

而此舉的危險之處在於,由於軟件開發環境的性質,很難維持單獨的代碼庫集合,並將代碼編譯報道和安裝在運往特定目的地的設備中。「當這些設備運往中國境外(銷售或使用)時,這些後門仍可用於洩露信息(給中共機構)。」報告補充說。

報告指,如果中國(中共)政策要求在中國銷售的設備中嵌入後門訪問、以用於內部安全,那麼應用於這樣一個大市場的洩露代碼蔓延到世界其它地方的風險會大大增加。

「我們只能推測這些安全漏洞是(被人)有意還是無意用來傳播。」國防部報告說,「但如果中國(中共)在5G設備市場上佔據主導地位,無論是作為5G設備製造商、還是作為一個龐大而有吸引力的用戶市場,都只會讓這種潛在的漏洞繼續蔓延,並使更大的5G生態系統處於風險之中。」

國防部建議 對含後門的進口商產品加徵高稅

國防部對面臨的5G生態環境威脅,提出多個建議。第一,考慮防範供應鏈洩密的各種可能選項,其中中國產半導體元件和晶片組嵌入多個系統的情況。國防部應考慮供應鏈洩密的更廣泛影響,例如個人設備的風險,以及這些設備活動中獲得的信息風險。

「如果中國(中共)能夠收集這些數據,美國國防部應考慮採用離散指令來抵禦這些超出傳統國防部系統和平台的漏洞。」報告寫道。

第二,積極保護美國的技術知識產權,減緩中國電信生態系統的擴張。報告建議,美國應利用出口管制來減緩西方供應商的市場損失率,即使此舉可能加快中國自給率提高。

第三,為了應對這種威脅,國防部應提倡新的貿易政策導向——獎勵良好的安全/編碼產品,同時通過關稅懲罰有漏洞的產品。例如,美國自動對發現有後門或嚴重安全漏洞的任何國家的任何商品加徵高關稅(比如說,75%)。

加徵關稅的做法一方面可以給不安全因素帶來市場成本,另一方面可以激勵美國國內公司為安全研究人員提供資金,查找競爭對手產品中的漏洞、從而觸發關稅。

「這將提高國防部生態系統的整體安全性。」報告中寫道。

報告還提到,美國應鼓勵五眼和北約合作夥伴採用相同的關稅,無論產品來自哪個國家;同時,美國應繼續鼓勵夥伴國家確保自己的供應鏈安全,並拒絕接觸銷售5G商品的中國(中共)國有企業(SOEs)。

最後,報告建議,鼓勵財政部下的美國外國投資委員會(CFIUS),阻止外國有後門和安全漏洞記錄的公司併購美國企業。#