此前英国政府首先发布华为资安可控的意见,而如今却又指责华为电信设备存在重大安全缺陷。
英国华为网路安全评估中心监督委员会报告称,华为的软体工程和安全流程存在相当大的潜在缺陷,儘管过去屡有指出,但华为似乎没有改善的诚意。此报告并未提到有关于华为与中国政府关係的问题,仅提到不管是政府或独立骇客都可能会利用这些缺陷,给国家安全带来风险。
英国官员表示,华为甚至无法掌握其构建的大部分软体代码,意味着,他们自己也不能确定在华为的网路中有什幺在运作,且自己的零组件供应商监管也相当不力。这种草率的软体工程仍然突显了在 5G 网路中使用便宜的华为设备所产生的安全风险及隐性成本的担忧。事实上,英国电信也开始在 4G 网路中汰除华为设备,因为问题实在太多。
华为没后门,是虫门
而一名不愿具名的美国情报官员指出,华为的做法并不是打开一个明确的后门,而是利用鬆散的软体架构故意允许漏洞的产生,可以说是一种虫门(Bug doors)。他强调,如果漏洞被曝光,就可以推託这只是意外的失误,但实际上无论是政府或骇客都可以利用这些漏洞来达到同样的目的。
资安业者则表示,其实英国所指出的问题,其他网通业者通常也都有,不过华为在这方面的确最为严重。儘管避免谈到间谍问题,但可以从报告中看见英国对华为的不满,其承诺似乎已无法取信英国。该报告尖锐的批评,虽然华为承诺在未来 5 年内投入 20 亿美元来改善其软体安全,但目前进度缓慢,根本也没解决上次评估所指出的问题。
不过目前仍没有迹象认为,英国会反悔而禁止华为设备,基本上也很难如美国所愿,在欧洲完全围堵华为。但这份报告所带起的风向,对未来政府进行採购时应还是有不小的影响。毕竟英国早在 2010 年就专门建立了华为网路安全评估中心,以审核其硬体和软体,但目前该中心甚至难以确定其审核的代码是否真的就是在现行产品中运作的程式。
此报告非常强烈的质疑,华为对网路安全根本不上心。而华为对此回应,公司非常理解并严肃地对待这些关切,并将其作为正在进行的软体工程能力提升变革计画的重要输入。除了此前承诺的 20 亿美元改造工程,也即将投入与此项目相关的高层计划,公司将继续与英国营运商及英国网路安全部门展开密切合作,共同制定更高的统一网路安全及验证标準。
- Huawei Security ‘Defects’ Are Found by British Authorities
- Huawei Is More Vulnerable to Hacks Than We Thought
- THE HUAWEI THREAT ISN’T BACKDOORS. IT’S BUGS
- UK report details new and existing Huawei security issues
- Huawei issues could pose UK security risks, say authorities
