美国防部5G报告 华为软件后门泄用户信息

国防部
美国国防部的最新报告指出,全球有多种设备被发现存在后门或安全漏洞,其中许多似与中共情报界迫使公司泄露中国国内用户的信息要求有关。(/AFP/Getty Images)

【大纪元2019年04月07日讯】(大纪元记者林燕编译报导)美国国防部国防创新委员会(Defense Innovation Board)4月发布的最新报告指出,全球有多种设备被发现存在后门或安全漏洞,其中许多似与中共情报界迫使公司泄露中国国内用户的信息要求有关。

       

报告列举两个最新的案例,一个是芬兰企业诺基亚的安卓(Android)手机被发现存在后门,会将各种数据发送到中国电信的网络服务器。报告说,诺基亚将后门置入面向中国境内销售的手机中,但后来意外将此代码安装到它(在其它国家销售)的同款设备上。

诺基亚出问题的手机是诺基亚7,于2017年10月在中国发布,据悉是诺基亚第一款采用3D玻璃热压成型技术的智能手机。2018年,新版诺基亚7.1手机在美国发布。

国防部列举的第二个案例是2018年,中国摄像头供应商雄迈(Xiongmai)的软件被发现含有一个名为“tluafed”(反向默认)的无证后门用户,可访问数百万台摄像机。

通过ZoomEye搜索引擎,能得到200万的雄迈设备暴露在公网的资料,通过枚举Cloud ID,更能访问约900万雄迈设备;且该设备还存在着硬编码凭证和远程代码执行漏洞,若被利用传播僵尸网络,将会给网络空间造成巨大危害。

国防部的报告提及,据信,雄迈的摄像头漏洞与驱动摄像头的华为海思(HiSilicon)SoC芯片有关,该芯片为软件开发库提供一种哈希算法。

据大陆知乎专栏作家宁南山统计,在IP摄像头的SoC芯片领域,华为海思是市场的霸主,中国60%以上的IP摄像头芯片都来自海思。在与IP摄像头配合的后段NVR设备的芯片方面,海思也占据了大部分份额。而在和模拟摄像头配合的后段DVR芯片领域,华为海思同样是中国市场霸主,在2014年就占到了中国市场79%的份额。

美国担忧中共利用漏洞搞对外监控

“这些事件和其它事件都表明,中国(中共)机构可能要求运往中国的设备设置后门准入,以协助其内部监控活动。”报告写道。

而此举的危险之处在于,由于软件开发环境的性质,很难维持单独的代码库集合,并将代码编译和安装在运往特定目的地的设备中。“当这些设备运往中国境外(销售或使用)时,这些后门仍可用于泄露信息(给中共机构)。”报告补充说。

报告指,如果中国(中共)政策要求在中国销售的设备中嵌入后门访问、以用于内部安全,那么应用于这样一个大市场的泄露代码蔓延到世界其它地方的风险会大大增加。

“我们只能推测这些安全漏洞是(被人)有意还是无意用来传播。”国防部报告说,“但如果中国(中共)在5G设备市场上占据主导地位,无论是作为5G设备制造商、还是作为一个庞大而有吸引力的用户市场,都只会让这种潜在的漏洞继续蔓延,并使更大的5G生态系统处于风险之中。”

国防部建议 对含后门的进口商产品加征高税

国防部对面临的5G生态环境威胁,提出多个建议。第一,考虑防范供应链泄密的各种可能选项,其中中国产半导体元件和芯片组嵌入多个系统的情况。国防部应考虑供应链泄密的更广泛影响,例如个人设备的风险,以及这些设备活动中获得的信息风险。

“如果中国(中共)能够收集这些数据,美国国防部应考虑采用离散指令来抵御这些超出传统国防部系统和平台的漏洞。”报告写道。

第二,积极保护美国的技术知识产权,减缓中国电信生态系统的扩张。报告建议,美国应利用出口管制来减缓西方供应商的市场损失率,即便此举可能加快中国自给率提高。

第三,为了应对这种威胁,国防部应提倡新的贸易政策导向——奖励良好的安全/编码产品,同时通过关税惩罚有漏洞的产品。例如,美国自动对发现有后门或严重安全漏洞的任何国家的任何商品加征高关税(比如说,75%)。

加征关税的做法一方面可以给不安全因素带来市场成本,另一方面可以激励美国国内公司为安全研究人员提供资金,查找竞争对手产品中的漏洞、从而触发关税。

“这将提高国防部生态系统的整体安全性。”报告中写道。

报告还提到,美国应鼓励五眼和北约合作伙伴采用相同的关税,无论产品来自哪个国家;同时,美国应继续鼓励伙伴国家确保自己的供应链安全,并拒绝接触销售5G商品的中国(中共)国有企业(SOEs)。

最后,报告建议,鼓励财政部下的美国外国投资委员会(CFIUS),阻止外国有后门和安全漏洞记录的公司并购美国企业。#

责任编辑:华子明

抢先评论

发表评论

电子邮件地址不会被公开。


*