【新唐人2019年05月06日讯】全球第二大移动运营商沃达丰(Vodafone)4月30号表示,早在2011年和2012年间,曾在华为的电信设备中发现过安全漏洞,并声称华为已经修正。不过彭博社稍早的报导引述消息人士的话说,华为在声称处理问题后,2012年后沃达丰仍发现安全漏洞存在。
沃达丰于2008年开始从华为购买wifi路由器,用于其意大利业务,后来又应用于英国、德国、西班牙和葡萄牙等欧洲国家的业务。
根据彭博社所看到的2009和2011年沃达丰的安全简报文件,2011年1月,独立承包商对路由器进行的安全测试表明,telnet后门让华为能够在未经沃达丰授权的情况下,访问沃达丰在意大利业务的固网网络,而该系统为数百万家庭及企业提供网络服务。
彭博社引述知情人士的话说,沃达丰还在光纤服务节点中,包括处理用户身份验证和访问互联网等的“宽频网络网关”的部分,也发现了安全漏洞。
报导说,华为的这些后门可能带来的风险包括第三方能够访问用户个人电脑和家庭网络。
时事评论员田园博士:“前门就是通讯服务商,在制造硬件的时候,在用户知情的情况下,专门预留的这样的通道,这叫前门。在用户不知情的情况下,如果硬件制造商,像华为,设置这样的登陆机制,那麽这就是后门。”
米兰理工大学(Politecnico di Milano University)计算机安全副教授斯特凡诺‧扎内罗(Stefano Zanero)表示,“2009年和2011年沃达丰报告中描述的漏洞具有后门的所有特征:不知情(deniability),可访问(敏感数据)以及在后续版本的代码中仍有再次出现的倾向”。
原中国大陆互联网企业技术总监王东林表示, 设备制造商留一个侦听的服务端程序的做法,在大陆的路由器行业里边很常见,不过在国外应该不允许。
原中国大陆互联网企业技术总监王东林: “国外,我觉得是一个正常的商业环境,应该是不允许这个东西存在的,因为这个设备,你甲方卖给一乙之后呢,其实乙方应该拥有完全的这个操控权,你甲方应该是无权再干涉,再绕过乙方或者隐瞒乙方去操作这个设备,这个应该是一个基本的商业逻辑,就是说,这种行为应该是不被允许的。”
彭博社爆料的当天下午,沃达丰发表声明称,问题已经在当年被解决。但沃达丰的声明引发质疑。据彭博社引述知情人士透露的消息,无论是路由器还是固定接入网络(指光纤服务节点的部分)的漏洞问题,在2012年以后,仍然广泛存在于沃达丰在英国、德国、西班牙和葡萄牙的网络中。
田园:“沃达丰严重的依赖于从华为购买比较便宜的硬件,因为他这个硬件不只用在意大利,还在欧洲的其他很多国家,都在使用华为的硬件,他对华为的硬件几乎形成了一种依赖性。”
彭博社引述美国网络安全公司Atredis Partners的安全专家表示,虽然后门在家用路由器中很常见,但它们一旦被发现,制造商通常就会马上予以修复。而华为的这种情况“非常令人担心”。
彭博社说,华为明显不愿意取消后门的态度只会扩大那些正在散播的担忧,也就是华为设备可能对客户构成安全威胁。
田园:“如果你使用华为的硬件,在你的5G骨干网络里面,你怎么能够确认华为在这些骨干设备里面没有预留这样的后门? 所以这是一个严重的安全问题。”
王东林:“他留一些不公开端口的话,那就其实说是一种后门。这种后门,平常你也侦测不到,但是他在运行着。”
事实上,华为产品不是第一次被发现存在重大的安全问题。
美国国防部国防创新委员会(Defense Innovation Board)4月发布报告指出,华为软件后门泄漏用户信息。
英国国家网络安全中心3月28号也发布报告指出,华为的电信设备存在“重大”安全风险。
之前日本政府拆开华为设备,意外发现了硬件中不必要的元器件(间谍晶元),因此将华为和中兴通讯的产品排除出政府采购清单。
采访/陈汉 编辑/孙凯丽 后制/葛雷
