風向又變?英國稱華為有重大安全缺陷

作者 | 發布日期 2019 年 03 月 29 日 11:29 | 分類 網路 , 網通設備 , 資訊安全 follow us in feedly

此前英國政府首先發布華為資安可控的意見,而如今卻又指責華為電信設備存在重大安全缺陷。




英國華為網路安全評估中心監督委員會報告稱,華為的軟體工程和安全流程存在相當大的潛在缺陷,儘管過去屢有指出,但華為似乎沒有改善的誠意。此報告並未提到有關於華為與中國政府關係的問題,僅提到不管是政府或獨立駭客都可能會利用這些缺陷,給國家安全帶來風險。

英國官員表示,華為甚至無法掌握其構建的大部分軟體代碼,意味著,他們自己也不能確定在華為的網路中有什麼在運作,且自己的零組件供應商監管也相當不力。這種草率的軟體工程仍然突顯了在 5G 網路中使用便宜的華為設備所產生的安全風險及隱性成本的擔憂。事實上,英國電信也開始在 4G 網路中汰除華為設備,因為問題實在太多。

華為沒後門,是蟲門

而一名不願具名的美國情報官員指出,華為的做法並不是打開一個明確的後門,而是利用鬆散的軟體架構故意允許漏洞的產生,可以說是一種蟲門(Bug doors)。他強調,如果漏洞被曝光,就可以推託這只是意外的失誤,但實際上無論是政府或駭客都可以利用這些漏洞來達到同樣的目的。

資安業者則表示,其實英國所指出的問題,其他網通業者通常也都有,不過華為在這方面的確最為嚴重。儘管避免談到間諜問題,但可以從報告中看見英國對華為的不滿,其承諾似乎已無法取信英國。該報告尖銳的批評,雖然華為承諾在未來 5 年內投入 20 億美元來改善其軟體安全,但目前進度緩慢,根本也沒解決上次評估所指出的問題。

不過目前仍沒有跡象認為,英國會反悔而禁止華為設備,基本上也很難如美國所願,在歐洲完全圍堵華為。但這份報告所帶起的風向,對未來政府進行採購時應還是有不小的影響。畢竟英國早在 2010 年就專門建立了華為網路安全評估中心,以審核其硬體和軟體,但目前該中心甚至難以確定其審核的代碼是否真的就是在現行產品中運作的程式。

此報告非常強烈的質疑,華為對網路安全根本不上心。而華為對此回應,公司非常理解並嚴肅地對待這些關切,並將其作為正在進行的軟體工程能力提升變革計畫的重要輸入。除了此前承諾的 20 億美元改造工程,也即將投入與此項目相關的高層計劃,公司將繼續與英國營運商及英國網路安全部門展開密切合作,共同制定更高的統一網路安全及驗證標準。

(首圖來源:shutterstock)

延伸閱讀:

關鍵字: , , ,