華為安全性「令人憂心」 你必須知道的5件事

2019年03月30日社區
【新唐人2019年03月30日訊】3月28日,英國HCSEC監管委員會針對華為的安全風險發布研究報告,華為移動通信設備和系統存在「重大技術問題」。報告公布了華為9個方面的技術問題。
這個監管委員會由英國國家網路安全中心,GCHQ(英國情報機關)和其它機構人員組成,還包括華為的一位高級管理人員。
安全漏洞、軟體設計問題「令人憂心」
這份46頁的報告說,2018年共報告了幾百個華為的安全和技術漏洞,「嚴重的而且是系統性的軟體設計和網購安全問題。」
技術專家組檢查了一個名為「eNodeB」的產品,一個提供網路和用戶手機相連的部件。檢查發現,更新版本的軟體本應該更安全,「這款軟體的基本設計和產品的網路安全質量仍然出現多個嚴重缺陷。」
報告中說,華為很差的軟體工程和網路安全不光帶來安全隱患,也帶來質量問題。
HCSEC的一個技術小組就能發現的「安全漏洞的數量和嚴重程度,再加上結構和版本問題」,讓人擔心,如果有人掌握了這些弱點,就能乘虛而入,導致網路運行出問題。
報告舉例說,可能是網路無法正常運作;入侵用戶活動信息,攻擊網路上的部件等。不過目前英國沒有大面積發生這種事情,是因為「英國的運營商制約著黑客的入侵能力,使之不能和網路上任何沒有暴露在公共領域的部件對話。」
華為操作系統即將到壽且無法升級
「持續使用依賴老舊軟體的產品,給運營商招來被攻擊的風險」。報告中說。
華為的網路設備很大部分已經過時,馬上就要被淘汰的Wind River的VxWorks實時操作系統。華為專門購買了延長技術支持的合同,截止日期是2020年。
這個老舊系統使用的是被淘汰的單一用戶、單內存空間構架,本身相當有安全隱患。報告中說,華為即使購買了延長技術支持,但「但單內存空間,單用戶模式帶來的網路安全風險沒有改變」。而業界的正常規則是生產商必須及時升級和保持更新,「長期依賴這個操作系統,對英國來說是不可接受的,必須有升級的路徑。」
HCSEC說,在發布這個報告時,華為還沒有提供解決方案,也就是升級到一個能被支持的操作系統的方案,這給運營商帶來巨大壓力,因為必須做額外的大量工作來「減低安全風險」
華為自己的操作系統前途不明
2018年HCSEC的技術專家前往華為上海總部,討論和理解華為的操作系統到壽及其它軟體生命週期等問題。華為當時承諾,有意開發自己的操作系統,把即將到壽的操作系統轉移到自己研發的操作系統上。
這份報告總結說,沒有收到足夠的證據,HCSEC沒有信心相信,華為能開發出自己的長期可持續的操作系統。
報告中說,把目前的應用程序集成到一個更新的系統上,面臨風險重重,而且還涉及到必須更新硬件。
被檢查的源代碼可能和使用的不一樣
HCSEC的技術專家檢查了華為的4款產品,發現無法確定被檢查產品的源代碼,會和被部署在英國的網路上的產品的源代碼一模一樣。
報告中說,很難有信心相信,「華為的類似產品會有大致相同的安全性」。
也就是說,無法確信一款產品上發現的安全漏洞,會在另一款產品的軟體工程中解決。
華為承諾20億改善安全性可能是空話
面對來自各方的安全指控,華為承諾在未來5年投資20億元來改善軟體設計程序,HCSEC表示,這20億「目前只是預算的提議,還沒有任何具體行動」。監管委員會需要看到計畫的細節,才會相信這能帶來改變。
新唐人記者劉海英多倫多報導