【禁聞】沃達豐曝華為存在安全漏洞

2019年05月06日
【新唐人2019年05月06日訊】全球第二大移動運營商沃達豐(Vodafone)4月30號表示,早在2011年和2012年間,曾在華為的電信設備中發現過安全漏洞,並聲稱華為已經修正。不過彭博社稍早的報導引述消息人士的話說,華為在聲稱處理問題後,2012年後沃達豐仍發現安全漏洞存在。
沃達豐於2008年開始從華為購買wifi路由器,用於其義大利業務,後來又應用於英國、德國、西班牙和葡萄牙等歐洲國家的業務。
根據彭博社所看到的2009和2011年沃達豐的安全簡報文件,2011年1月,獨立承包商對路由器進行的安全測試表明,telnet後門讓華為能夠在未經沃達豐授權的情況下,訪問沃達豐在義大利業務的固網網絡,而該系統為數百萬家庭及企業提供網絡服務。
彭博社引述知情人士的話說,沃達豐還在光纖服務節點中,包括處理用戶身份驗證和訪問互聯網等的「寬頻網絡網關」的部分,也發現了安全漏洞。
報導說,華為的這些後門可能帶來的風險包括第三方能夠訪問用戶個人電腦和家庭網絡。
時事評論員田園博士:「前門就是通訊服務商,在製造硬件的時候,在用戶知情的情況下,專門預留的這樣的通道,這叫前門。在用戶不知情的情況下,如果硬件製造商,像華爲,設置這樣的登陸機制,那麽這就是後門。」
米蘭理工大學(Politecnico di Milano University)計算機安全副教授斯特凡諾‧扎內羅(Stefano Zanero)表示,「2009年和2011年沃達豐報告中描述的漏洞具有後門的所有特徵:不知情(deniability),可訪問(敏感數據)以及在後續版本的代碼中仍有再次出現的傾向」。
原中國大陸互聯網企業技術總監王東林表示, 設備製造商留一個偵聽的服務端程序的做法,在大陸的路由器行業裡邊很常見,不過在國外應該不允許。
原中國大陸互聯網企業技術總監王東林: 「國外,我覺得是一個正常的商業環境,應該是不允許這個東西存在的,因爲這個設備,你甲方賣給一乙之後呢,其實乙方應該擁有完全的這個操控權,你甲方應該是無權再干涉,再繞過乙方或者隱瞞乙方去操作這個設備,這個應該是一個基本的商業邏輯,就是説,這種行爲應該是不被允許的。」
彭博社爆料的當天下午,沃達豐發表聲明稱,問題已經在當年被解決。但沃達豐的聲明引發質疑。據彭博社引述知情人士透露的消息,無論是路由器還是固定接入網絡(指光纖服務節點的部分)的漏洞問題,在2012年以後,仍然廣泛存在於沃達豐在英國、德國、西班牙和葡萄牙的網絡中。
田園:「沃達豐嚴重的依賴於從華爲購買比較便宜的硬件,因爲他這個硬件不只用在義大利,還在歐洲的其他很多國家,都在使用華爲的硬件,他對華爲的硬件幾乎形成了一種依賴性。」
彭博社引述美國網絡安全公司Atredis Partners的安全專家表示,雖然後門在家用路由器中很常見,但它們一旦被發現,製造商通常就會馬上予以修復。而華為的這種情況「非常令人擔心」。
彭博社說,華為明顯不願意取消後門的態度只會擴大那些正在散播的擔憂,也就是華為設備可能對客戶構成安全威脅。
田園:「如果你使用華爲的硬件,在你的5G骨幹網絡裡面,你怎麽能夠確認華爲在這些骨幹設備裡面沒有預留這樣的後門? 所以這是一個嚴重的安全問題。」
王東林:「他留一些不公開端口的話,那就其實説是一種後門。這種後門,平常你也偵測不到,但是他在運行著。」
事實上,華爲產品不是第一次被發現存在重大的安全問題。
美國國防部國防創新委員會(Defense Innovation Board)4月發布報告指出,華為軟件後門泄漏用戶信息。
英國國家網絡安全中心3月28號也發布報告指出,華為的電信設備存在「重大」安全風險。
之前日本政府拆開華為設備,意外發現了硬件中不必要的元器件(間諜晶元),因此將華為和中興通訊的產品排除出政府採購清單。
採訪/陳漢 編輯/孫凱麗 後製/葛雷
0