英國發現華為設備有「影響國家安全」的瑕疵
英國政府上周公布一份華為網路設備的檢測報告,指出華為設備多所程式瑕疵,反映軟體工程能力及安全水準「進步不顯著」,其中不乏影響國家安全的漏洞。
這份報告為華為網路安全評估中心(Huawei Cyber Security Evaluation Centre,HCSEC)2019年對這家中國網路大廠的電信網路設備所做的安全評估。HCSEC為2004年英國政府設立的單位,主要功能是對英國境內電信網路使用的華為設備進行漏洞、架構問題進行檢測。
HCSEC指出,2019年在華為產品觀察到的漏洞和問題較2018年大幅增加,該中心強調這主要是因為其檢測效率提升,而非華為產品品質下降的結果。去年發現的漏洞類型包含許多重大漏洞(CVSS高得分者),包括公開可存取協定中出現記憶體堆疊緩衝溢位、可導致阻斷攻擊(DoS)的協定錯誤 、邏輯錯誤、加密法弱點、預設帳密,以及其他基本類型的漏洞。
報告指出,曾在華為設備發現「對國家安全關係重大」(of national significance)的漏洞。不過英國政府及相關社群已就此完成漏洞修補。
報告指出,倘若駭客得知這些漏洞並有足夠開採能力,則可能影響英國電信網路運作、讓攻擊者存取用戶流量、或變更網路組態。所幸大部份英國電信業者部署了足夠的安全防護,英國國家網路安全中心(NCSC)相信目前這些漏洞尚未於英國遭到開採。
但它同時也指出,雖然2019年華為產品較往年有些許改善,但往年的重大缺失和風險仍然存在;沒有證據顯示華為有明顯轉變以有效修補這些缺失。
報告結論指出,HCSEC的檢測突顯華為軟體工程和網路安全能力仍然存在重大和系統性缺陷,加上華為R&D流程缺少透明度,以及美國去年將華為列入實體名單後,華為產品修改有限,這些將使安裝華為新產品後的安全風險管理更加困難。
或許也在這份2019年報告的支持下,英國政府今年7月宣布從今年的12月31日起,將禁止英國電信業者採購新的華為5G設備,且要求當地電信業者的5G網路2027年底之前移除所有的華為設備。
