資安業者Finite State：近1萬款華為設備韌體中，有55%含有潛在後門

美國專精於物聯網（IoT）裝置安全的資安業者Finite State，針對華為設備所使用的韌體進行地毯式分析，發現在近1萬款韌體映像檔中，有55%至少含有一個潛在的後門，並宣稱這是第一個證實華為設備含有潛在後門的研究報告。

Finite State利用該公司的自動化系統分析了華為9,936款韌體中的150萬個檔案，這些韌體支援華為企業網路產品線的558款產品。

Finite State指出，華為是全球5G網路設備的主要供應商，各國卻因擔心中國政府可能藉由華為設備執行間諜或軍事任務而限制華為設備的採購，不過，華為設備中所存在的網路安全漏洞範圍從未被證實過，一直到此份報告出爐。

Finite State在3,062個檔案中找到79個不同的OpenSSL版本，最舊的版本是1999年出版的，當中不乏許多含有漏洞的版本，例如有389個OpenSSL二進位檔含有Heartbleed漏洞，也有1,405個OpenSSL二進位檔所含漏洞的風險等級達到最高的CVSS 10.0。

此外，每個韌體映像檔平均擁有102個已知漏洞，這些韌體映像檔都是經過完整修補的，但漏洞卻藏匿在韌體所採用的第三方函式庫；當中有2,692款韌體含有CVE-2016-7055漏洞；在所有的韌體中，有29%至少含有一個預設憑證；在8款韌體中找到認證金鑰檔案；424款韌體含有SSH私鑰；所有的功能呼叫中，不到17%採用安全功能。

為了公平起見，Finite State比較了Huawei CE12800、Arista 7280R與Juniper EX4650三款高階網路交換器的韌體，發現華為設備不論是在憑證、加密、已知漏洞、記憶體毀壞、程式碼複雜度及配置管理上的風險，都高於其它兩款設備。

研究人員指出，其實安全漏洞與後門之間很難區分，其細小差異也許是前者必須藉由至少一項工具或技術來開採，後者則是可繞過電腦系統的認證或加密程序的方法，通常可獲得遠端存取權，或是存取加密系統中的明文。不論如何，很難證明一個後門是故意被植入的，最好的後門看起來就像是個簡單的安全疏忽，才能夠被全盤否認。

Finite State創辦人暨執行長Matt Wyckhouse表示，他們相信愈透明就愈安全，政策制度者應該作出基於數據的決策，來決定他們願意承擔哪些風險，該公司的分析顯示華為設備的確對用戶帶來高度安全風險，且華為處於5G主導地位的身分更特別令人擔憂。