彭博社爆料,全球第二大移動營運商沃達豐(Vodafone)坦承,早在幾年前就發現由華為供應給沃達豐旗下意大利業務的設備出現後門。雖然沃達豐說該問題已解決,但引發知情人士的質疑。這項披露也進一步加劇了華為的間諜疑雲。

報道說,沃達豐對彭博社坦承,多年前就發現了華為為沃達豐的意大利業務提供的設備存在漏洞。這一事件可能會進一步損害這個作為中共全球技術實力重要象徵的電信公司的聲譽。

根據彭博社所看到的2009和2011年沃達豐的安全簡報文件以及知情人士的消息,該公司發現,華為的設備設有隱藏後門,容許華為在未經沃達豐的許可之下,接觸該營運商在意大利業務的固網網絡(fixed-line network),而該系統為數百萬企業及家庭提供網絡服務。

文件顯示,沃達豐在2011年要求華為拆除家庭互聯網絡由器中的後門,並得到華為的保證,稱問題得到解決。但進一步測試顯示,安全漏洞仍然存在。消息人士說,沃達豐還在光纖服務節點(optical service nodes)中發現安全漏洞,這個環節主要負責通過光纖傳輸互聯網流量。另一個被稱為「寬頻網絡網關」(broadband network gateways)的部份也發現漏洞。這一部份處理用戶身份驗證和訪問互聯網等。

報道說,在沃達豐的例子中,華為的這些後門可能帶來的風險包括第三方能夠訪問用戶個人電腦和家庭網絡。

華為後門得到解決? 這一說法遭質疑

彭博社說,沃達豐在2012年發現華為在意大利提供的「寬頻網絡網關」的漏洞,但表示這些問題已經在同年被解決。沃達豐還表示,記錄顯示,華為的幾款與光纖服務節點有關的產品中存在漏洞。但沃達豐沒有提供具體日期。

在一份聲明中,華為表示該公司知道2011年和2012年的安全漏洞問題,並在當時解決了這些漏洞。

然而,沃達豐和華為對該問題的說法(稱問題已經得到解決)受到參與兩公司之間安全討論的人的質疑。知情人士向彭博社透露,無論是路由器還是固定接入網絡(指光纖服務節點的部份)的漏洞問題在2012年以後仍然存在。甚至沃達豐在英國、德國、西班牙和葡萄牙的業務中都受到波及。沃達豐堅持與華為合作是因為華為的價格極具誘惑力。

報道說,沃達豐於2008年開始從華為購買wifi路由器,用於其意大利業務,後來又用於英國、德國、西班牙和葡萄牙的業務。在與華為合作後,沃達豐管理人員幾乎立刻開始擔心路由器的安全問題。這些問題是沃達豐在2009年10月的一個內部演示文稿的主題。該文稿指出,路由器中有26個漏洞,其中6個被認定為「關鍵(critical)」問題、9個被稱為「重大」(major)問題。沃達豐在報告中指出,華為需要刪除或禁止其telnet服務,這項服務可被用來遠程控制設備。沃達豐說,這是一個讓華為能夠獲得敏感數據的後門。

根據2011年4月的一份報告,當年1月,沃達豐意大利分部開始對路由器進行更深入的調查。獨立承包商進行的安全測試表明,telnet後門是最令人擔憂的問題,存在的風險包括華為可以在未經授權的情況下,訪問沃達豐更廣泛的廣域網(WAN)。

該文件記錄了兩個月時間的活動,在此期間,沃達豐的意大利部門發現了telnet服務,要求華為將其拆除,華為也保證會解決此問題。但經過進一步測試,沃達豐發現telnet服務仍然可以被啟動。

沃達豐表示,華為當時拒絕完全取消後門,理由是製造要求。根據該文件,華為表示需要telnet服務來配置設備信息並進行包括Wifi在內的測試。

彭博社說,華為明顯不願意取消後門的態度只會擴大那些正在散播的擔憂,即華為設備可能對客戶構成安全威脅。

「不幸的是,華為的政治背景意味著這件事將使他們更難以證明自己是一個誠實的供應商」,沃達豐在2011年4月由其首席信息安全官布萊恩・利特費爾(Bryan Littlefair)撰寫的文件中說。利特費爾指出,沃達豐當時對深圳進行了一次安全訪問,並表示,他對華為沒有對此事放在更優先解決的議程上感到驚訝。

「這裏最令人擔憂的是,華為同意刪除代碼,然後試圖隱藏代碼,現在拒絕將其刪除,因為他們以『質量』為由需要將其保留」,利特費爾寫道。

華為拒絕評論利特費爾提出的擔憂。

米蘭理工大學(Politecnico di Milano University)電腦安全副教授斯特凡諾・扎內羅(Stefano Zanero)表示,「沒有具體的方式可以判斷出哪些東西是後門,因為大多數後門都會被設計成看起來像是一個錯誤。」 「2009年和2011年沃達豐報告中描述的漏洞具有後門的所有特徵:不知情(deniability),可訪問(敏感數據)以及在後續版本的代碼中仍有再次出現的傾向」。

美國網絡安全公司Atredis Partners首席研究顧問埃里克・艾文齊克(Eric Evenchick)表示,華為設備的情況「非常令人擔憂」。

華為設備被發現後門此前也有披露。去年12月10日,日本政府正式將華為和中興通訊的產品從政府內部的採購清單上排除,隨後,日本三大手機營運商也跟進。之前,日本政府拆開華為設備,發現了多餘「零件」。

華為受中共安全部門資助

特朗普政府多次指出,華為設備中的這類後門可以允許中共政府的情報部門執行間諜服務。國務卿蓬佩奧也在多次出訪中,力求說服盟友國家阻止華為參與各國的5G網絡建設。華為則一再否認其在設備中留有後門,也否認其為中共服務。

英國《泰晤士報》(The Times)4月20日引述消息人士的話披露,美國中央情報局(CIA)指控華為接受來自中共的國家安全委員會(China’s National Security Commission)、中共軍隊(People’s Liberation Army)與中共國家情報網(Chinese state intelligence network)等安全機構提供的經費。

《福布斯》(Forbes)報道,《泰晤士報》4月20日的披露說明,美國指責華為可能為中共服務的證據是存在的,只是美國方面還沒有被公開。報道還說,如果華為從中共的軍事和安全機構獲取資金是真的話,將令華為為證明自己的「清白」所進行的長期宣傳活動付之東流。#

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand