【名家专栏】5700万中国产刷卡器曝安全隐患

2021年11月14日时政评论
美国及其盟国在使用中国科技产品的问题上太大意了,最近美国政府发现,中国制造的信用卡读卡器把美国用户的数据发回中国,而厂商却给不出一个合理的解释。
美国财政部报告显示,几百万台中国制造的POS(point-of-sale,销售时点信息系统)设备,即收银台上的刷卡机,很可能在把消费者数据传给中国。财政部的测试显示,这些数据被加密后传给位于中国的一些匿名第三方机构。
彭博社引用美国财政部网络安全和关键基础设施保护办公室(OCCIP)一封信件上的说法,这些数据传输的动作“对于正常的支付交易处理来说是不必要的”。流向中国的数据,比正常支付交易所需的量更大、更频繁。
“财政部的初步评估认为,这些设备进行的数据传输使消费者数据的安全性受到威胁。”一位财政部发言人告诉彭博社。
这些设备来自电子支付终端制造商中国公司百富环球(Pax Global)科技公司的子公司。该公司宣称,对于数据安全性的顾虑是“谣言”。公司总部设于香港,研发及营运中心主要位于中国深圳。百富称他们制造了5700万台支付终端,在世界120个国家使用。
10月26日,美国FBI搜查了百富位于佛罗里达州杰克逊维尔(Jacksonville)的办公室。两天后,该公司安全服务部门副总监辞职。
英国安全机构也在调查这家中国设备制造商。
网络安全专家克雷布斯(Brian Krebs)说,FBI的搜查不仅是因为这家公司设备有着“异常的数据传输”行为,而且还和网络攻击、骇客行为,以及在美国、欧盟机构内非法收集数据相关。
佛罗里达金融公司FIS Worldpay的一位发言人表示:“这些(百富)设备自动会连接一些网站,而这些网站在他们提供的设备说明书里面没有提到。我们向百富提出质疑,得不到令人满意的答案。”出于对数据安全的考虑,FIS Worldpay不得不换掉百富设备,改用美国和法国制造的设备。
这一事件只是中共科技设备黑暗面的冰山一角。中国制造的其它科技产品,像Zoom、TikTok(抖音)、电脑、手机,已经把世界各地上亿用户的数据都暴露在中共政府的监控之下。
2020年,视讯会议软件Zoom被下载了4.85亿次,它的安全问题仍未解决。同年,FBI向Zoom发出安全问题警告。美国国防部及其下属机构已经禁止使用该软件。中共政府拥有Zoom软件的加密密码,所有使用这个软件开会的数据都流经中国的服务器。
然而在2020年,世界上20个国家共9万所学校都做出这个错误的决定:使用Zoom软件进行视讯会议。Skype和Google提供的视讯服务质量更好,但是更多人在使用Zoom。
Zoom的用户中很高比例是儿童,他们不把安全警告当回事。
Business of Apps最近发表的一篇文章说:“Zoom被发现未经授权向脸书发送数据。”专家还发现Zoom的加密性能不达标。文章还说:“政府机构企业(加拿大和台湾)、多家大机构(SpaceX和NASA),以及一些学校董事会(纽约和台湾)都已经禁止使用Zoom软件。”
就在今年9月底,Zoom软件还被发现具有执行远端代码的漏洞。这意味着骇客通过互联网可以控制用户的电脑。Zoom宣称已经找到漏洞并修复。也正是他们宣布修复的消息,我们才知道还有这样大的漏洞。在过去的几年里,情况一直如此,直到专家逮住它的漏洞提出,他们才不得不承认、去修复。天知道它们还存在什么漏洞!请别用Zoom了。
TikTok和中共政府的关系就更密切了。2020年这款应用程序被下载了8.5亿次,至今总计下载30亿次。其中28%的用户不满18岁,59%是女性。2020年,北美有1.05亿用户。
TikTok属于字节跳动(ByteDance)公司,总部在北京。
出于对安全性的顾虑,2020年6月印度禁止使用该软件。两个月后,时任总统川普签署行政令,要求TikTok或者和字节跳动分家,或者被一家美国公司收购。然而,拜登上台后取消了这项要求,这真是很不明智。
The Information消息说,今年4月,北京政府增持了字节跳动1%的股份,在董事会增加了一个席位。
作为回应,参议员马可‧卢比奥(Marco Rubio)谴责了拜登政府,他说:“不能再假装TikTok不受控于中共。即使在今天(这个消息公布)之前,很明显TikTok对个人隐私和美国国家安全都存在重大威胁。北京的扩张举动明确展示,这个极权把TikTok看作是这个党国的分支机构,美国也要认清这一点。总统拜登必须立即行动解决字节跳动和TikTok的安全问题。”
很重要的是,卢比奥提出解决这类问题不能满足于“按下葫芦浮起瓢”的局面。“我们必须建立一套标准框架,所有高风险、外国的应用程序必须符合标准才能在美国的通信市场和设备上运行。”
不仅对于软件是如此,对待来自与中共关系密切的厂商的电脑、平板电脑和手机都是如此。90%的电脑、70%的手机都是在中国生产的。使用这些硬件都会带来很高的风险。
【名家专栏】5700万中国产刷卡器曝安全隐患
手机屏幕上的TikTok商标示意图。(Photo by MARTIN BUREAU/AFP via Getty Images)
中共控制了世界上大部分电子设备的生产。这是一个现在在世界上疯狂扩张其权力的政权。为了便利和低成本,我们总是忽略它带来的恶果,但是这样做风险很大。
考虑到使用中共提供的科技产品和技术的高风险,美国财政部已经透露出拒绝使用中共技术的想法。
“OCCIP建议美国金融系统内的利益各方,采取基于风险评估的方法,保护他们的消费者数据、企业网络和所提供服务的安全性。”财政部在本月关于调查百富的信件中说,“银行和金融服务提供者必须把这套风险评估方法用于他们的供应链。”
尽管这样的警告很好,但这力度根本不够。我们需要法律和执行力配合去贯彻这套标准,保证美国及盟国拥有安全的技术环境。我们的信息安全取决于美国和盟国对所有信息技术的控制和保护,从种子投资到所有权、到硬件制造,再到软件的编写和操作。任何一个环节都不能忽视。
美国及其盟国现在仍然不能保护我们的民主社会免受与中共关联的技术制造商的侵害,包括TikTok等软件和计算机、电话和信用卡支付设备等硬件,这不合情理。这把美国及盟友的隐私、工人、行业结构的多样性都置于风险之中。
作者简介:
安德斯‧科尔(Anders Corr),2001年获颁耶鲁大学的政治学学士及硕士学位,2008年荣获哈佛大学的政府管理学博士学位。他是科尔分析公司(Corr Analytics Inc.)总裁,《政治风险杂志》(the Journal of Political Risk)发行人,研究领域广涉北美、欧洲和亚洲等地。他撰写了《权力集中》(The Concentration of Power,2021年即将出版)和《禁止入侵》(No Trespassing)等着作,并主编了《大国大战略》(Great Powers, Grand Strategies)一书。安德斯‧科尔的推特帐号:@anderscorr。
原文:No More China Tech: 57 Million Credit Card Machines Likely Compromised刊登于英文《大纪元时报》。
本文只代表作者的观点和陈述。
(转自大纪元/责任编辑:浩宇)