根據網絡安全專家的最新研究,華為製造的電信設備比競爭對手的設備,更容易被黑客惡意入侵。這項研究成果呼應了美國提醒各界注意華為設備具國安風險的主張。

位於俄亥俄州哥倫布市的網絡安全公司Finite State完成一份最新調查報告,看過該報告的《華爾街日報》記者在報道中說,研究人員發現華為所生產的企業網絡各項設備,近10,000個固件(firmware,又譯韌體)映像(image)被編碼成的超過500個變數中,逾50%至少包含一個會被入侵的漏洞。固件係指對電腦硬體組件提供動力的軟件。

研究人員將這些漏洞稱之為「潛在的後門」,可以允許具有固件知識和相應加密密鑰的攻擊者進入華為設備。

Finite State公司最近幾周將這份報告,送給美國和英國的多個政府機構的高級官員以及國會議員。

「這份報告支持了我們自2009年以來對華為的評估,該公司對其為國際客戶安裝的部份系統,一直保持隱蔽訪問」,一位看過這份報告的白宮官員告訴《華日》說:「這種隱蔽訪問使華為能夠在這些系統上記錄信息並修改數據庫,而華為一直沒有向國際客戶或當地的政府透露這種隱蔽訪問。」

Finite State公司首席執行官馬特・威克豪斯(Matt Wyckhouse)表示,Finite State公司對華為設備的調查是自掏腰包的工作,沒有受任何政府部門的委託,他覺得讓政策制定者了解這些問題的最佳方法是公開這份報告。他計劃本周發表這份報告,並稱:「我們希望5G是安全的。」

威克豪斯還說,根據實務經驗,本次調查發現的漏洞數量,是「我們見過的最高數字」。

一位華為官員表示,該公司歡迎對有助於提高其產品安全性的獨立研究,但是對Finite State公司的報告,表示由於尚未看到而不予置評。

看過該報告的多位白宮官員表示,調查結果顯示華為有可能公然違反了國際標準協議,故意在其產品中置入缺陷。根據該報告,華為設備被發現的一些漏洞是眾所皆知的網絡安全問題,要避免這些問題並不難。

國土安全部高級網絡安全官克里斯・克雷布斯(Chris Krebs)表示,Finite State公司的研究更增添了對華為設備安全性的擔憂,然而華為到現在還沒有表現出要改善其設備安全性的意圖或能力,加上中共政府有可能迫使華為積極與國際5G競標。因此,「在這種情況下,目前或未來使用華為設備,都構成令人無法接受的安全風險。」他說。

「多年來,華為基本上都在挑戰國際社會能否找到該公司被指控的安全漏洞證據」,美中經濟與安全審查委員會(U.S.-China Economic and Security Review Commission)成員邁克爾・威斯爾(Michael Wessel)表示,這份報告所發現的華為在其設備安裝漏洞的範圍和深度來看,華為安裝漏洞顯然是「故意的」。

知情人士表示,英國國家網絡安全中心(National Cyber Security Centre,NCSC)在看了Finite State公司的這份最新研究報告後認為,該報告與該機構今年3月發佈的華為技術分析報告的內容大體上是一致的。

NCSC在3月發佈的報告中,指責華為未能解決其產品中已知的安全漏洞,並警告各界該公司沒有承諾要修復這些漏洞。

美國聯邦眾議員邁克・加拉格爾(Mike Gallagher)說,他向來主張應該將華為視為是中共的附屬機構,在看了Finite State公司的報告後,華為設備安全漏洞的規模,還是「讓我感到吃驚」。

美國政府2012年對華為所做的安全風險調查,雖然沒有找到明確證據表明該公司是中共的間諜工具,但是結論是其設備存在網絡安全風險,有許多會被黑客利用的漏洞。

雖然Finite State公司的報告記錄了華為設備中廣泛存在的網絡安全缺陷,但是並未在報告中指責華為故意在其產品中置入安全缺陷,或者可能為中共政府進行電子間諜活動,這點將由讀者自行判斷。華為長期以來一直否認存在這種行為。#