[新聞] 美國防部5G報告 華為軟體後門洩用戶資訊

作者: pulagu (火星塞)   2019-04-07 12:25:43
美國防部5G報告 華為軟體後門洩用戶資訊
【大紀元2019年04月07日訊】(大紀元記者林燕編譯報導)美國國防部國防創新委員會(
Defense Innovation Board)4月發布的最新報告指出,全球有多種設備被發現存在後門
或安全漏洞,其中許多似與中共情報界迫使公司洩露中國國內用戶的資訊要求有關。
報告列舉兩個最新的案例,一個是芬蘭企業諾基亞的安卓(Android)手機被發現存在後
門,會將各種數據發送到中國電信的網路伺服器。
報告說,諾基亞將後門置入面向中國境內銷售的手機中,但後來意外將此代碼安裝到它(
在其它國家銷售)的同款設備上。
諾基亞出問題的手機是諾基亞7,於2017年10月在中國發布,據悉是諾基亞第一款採用3D
玻璃熱壓成型技術的智能手機。2018年,新版諾基亞7.1手機在美國發布。
國防部列舉的第二個案例是2018年,中國攝像頭供應商雄邁(Xiongmai)的軟體被發現含
有一個名為「tluafed」(反向默認)的無證後門用戶,可訪問數百萬台攝像機。
通過ZoomEye搜索引擎,能得到200萬的雄邁設備暴露在公網的資料,通過枚舉Cloud ID,
更能訪問約900萬雄邁設備;且該設備還存在著硬編碼憑證和遠程代碼執行漏洞,若被利
用傳播殭屍網路,將會給網路空間造成巨大危害。
國防部的報告提及,據信,雄邁的攝像頭漏洞與驅動攝像頭的華為海思(HiSilicon)SoC
芯片有關,該芯片為軟體開發庫提供一種哈希算法。
據大陸知乎專欄作家寧南山統計,在IP攝像頭的SoC芯片領域,華為海思是市場的霸主,
中國60%以上的IP攝像頭芯片都來自海思。在與IP攝像頭配合的後段NVR設備的芯片方面,
海思也占據了大部分份額。而在和模擬攝像頭配合的後段DVR芯片領域,華為海思同樣是
中國市場霸主,在2014年就占到了中國市場79%的份額。
美國擔憂中共利用漏洞搞對外監控
「這些事件和其它事件都表明,中國(中共)機構可能要求運往中國的設備設置後門准入
,以協助其內部監控活動。」報告寫道。
而此舉的危險之處在於,由於軟體開發環境的性質,很難維持單獨的代碼庫集合,並將代
碼編譯和安裝在運往特定目的地的設備中。「當這些設備運往中國境外(銷售或使用)時
,這些後門仍可用於洩露資訊(給中共機構)。」報告補充說。
報告指,如果中國(中共)政策要求在中國銷售的設備中嵌入後門訪問、以用於內部安全
,那麼應用於這樣一個大市場的洩露代碼蔓延到世界其它地方的風險會大大增加。
「我們只能推測這些安全漏洞是(被人)有意還是無意用來傳播。」國防部報告說,「但
如果中國(中共)在5G設備市場上占據主導地位,無論是作為5G設備製造商、還是作為一
個龐大而有吸引力的用戶市場,都只會讓這種潛在的漏洞繼續蔓延,並使更大的5G生態系
統處於風險之中。」
國防部建議 對含後門的進口商產品加徵高稅
國防部對面臨的5G生態環境威脅,提出多個建議。第一,考慮防範供應鏈洩密的各種可能
選項,其中中國產半導體元件和芯片組嵌入多個系統的情況。國防部應考慮供應鏈洩密的
更廣泛影響,例如個人設備的風險,以及這些設備活動中獲得的資訊風險。
「如果中國(中共)能夠收集這些數據,美國國防部應考慮採用離散指令來抵禦這些超出
傳統國防部系統和平台的漏洞。」報告寫道。
第二,積極保護美國的技術知識產權,減緩中國電信生態系統的擴張。報告建議,美國應
利用出口管制來減緩西方供應商的市場損失率,即便此舉可能加快中國自給率提高。
第三,為了應對這種威脅,國防部應提倡新的貿易政策導向——獎勵良好的安全/編碼產
品,同時通過關稅懲罰有漏洞的產品。例如,美國自動對發現有後門或嚴重安全漏洞的任
何國家的任何商品加徵高關稅(比如說,75%)。
加徵關稅的做法一方面可以給不安全因素帶來市場成本,另一方面可以激勵美國國內公司
為安全研究人員提供資金,查找競爭對手產品中的漏洞、從而觸發關稅。
「這將提高國防部生態系統的整體安全性。」報告中寫道。
報告還提到,美國應鼓勵五眼和北約合作夥伴採用相同的關稅,無論產品來自哪個國家;
同時,美國應繼續鼓勵夥伴國家確保自己的供應鏈安全,並拒絕接觸銷售5G商品的中國(
中共)國有企業(SOEs)。
最後,報告建議,鼓勵財政部下的美國外國投資委員會(CFIUS),阻止外國有後門和安
全漏洞記錄的公司併購美國企業。#
http://www.epochtimes.com/b5/19/4/6/n11168153.htm
作者: baobeising (㊣Ptt㊣最強a思想家-肚臍)   2019-04-07 12:26:00
又抹黑...歐盟已經認證沒問題了
作者: BrandyEye (單寧瑟)   2019-04-07 12:26:00
兩邊都不可信的感覺
作者: sofaly (沙發椅)   2019-04-07 12:26:00
難道美國就不會?
作者: kkjjrtlym   2019-04-07 12:27:00
菱鏡計畫
作者: nathan2000 (風間仁)   2019-04-07 12:28:00
五毛絕對狂洗.
作者: Atima   2019-04-07 12:28:00
稜鏡計畫米國還是在裝死 現在怕別人學 顆顆
作者: Anvec (鄉民)   2019-04-07 12:28:00
https://www.storm.mg/article/897910至今找不到「後門」,但德國情報機關仍警告.... 找不到
作者: tenka92417 (不識庵宗心)   2019-04-07 12:30:00
大妓院真厲害,這樣連結起來其他公司做的產品漏洞也能賴給華為的5G耶
作者: frozenmoon (劉備傳正式出版)   2019-04-07 12:32:00
微軟發現華為Matebook筆電有後門 華為迅速修補https://udn.com/news/story/7086/3733229
作者: gn1384181 (gn1384181)   2019-04-07 12:32:00
看得出來米蟲國現在很急XDD
作者: Anvec (鄉民)   2019-04-07 12:32:00
作者: ww578912tw (邱風弱業)   2019-04-07 12:33:00
大家都有洞 大家一起互插 不亦樂乎
作者: rayonwu (皂絲)   2019-04-07 12:34:00
高調
作者: Anvec (鄉民)   2019-04-07 12:36:00
frozenmoon貼的兩則 都是指出非惡意出現的漏洞比如英國那則新聞 是指華為在監管上有很大的問題
作者: frozenmoon (劉備傳正式出版)   2019-04-07 12:38:00
沒抓到就說抹黑,抓到後說非惡意,老套了
作者: WTF55665566 (來亂的)   2019-04-07 12:38:00
台灣一堆喜韓兒還再醉生夢死
作者: Anvec (鄉民)   2019-04-07 12:38:00
文內自己寫的 你貼的你自己沒看?還是你看不懂?
作者: xiaoyi (角落的灰塵)   2019-04-07 12:48:00
比起中國,當然是相信美國
作者: scuxun (GIRL)   2019-04-07 12:51:00
五毛超急,搶著在前幾樓說歐盟認證沒問題,人家歐盟只說不會現在限制,五毛自動翻譯成沒問題了
作者: wowjesus (wow黑蘇斯)   2019-04-07 12:56:00
中國形象差而已,不然後門科科其他國家都沒裝?
作者: nohssiwi   2019-04-07 13:30:00
不信支那透過後門收集數據是有特殊政治意圖的就去用大陸手機吧,反正我是信了(攤手
作者: ariadne (壞人)   2019-04-07 13:55:00
每個國家都會想辦法監控 有的國家思想就有罪有的要行為犯這兩種差別可以選擇的話 請問要選擇思想罪還是行為罪?
作者: Sinkage   2019-04-07 13:57:00
五毛又來抹屎了 要吃自己去
作者: microtek1990 (agod)   2019-04-07 13:59:00

Links booklink

Contact Us: admin [ a t ] ucptt.com