美國國防部「國防創新委員會」(Defense Innovation Board)4月發布的最新報告指出,一些電子設備都被發現存在後門或安全漏洞,其中許多與中共強迫企業洩露中國用戶的資訊有關。
報告列舉兩個最新的案例,一個是芬蘭企業諾基亞(Nokia)的安卓手機存在後門,會將各種數據發送到中國電信的網路伺服器。諾基亞將後門置入銷往中國大陸的手機中,但後來意外將此代碼安裝到銷往其他國家的同款設備上。
出問題的手機是諾基亞7,2017年10月在中國發表,這是該公司首次採用3D玻璃熱壓成型技術的智慧型手機。2018年,諾基亞7.1手機在美國發表。
第二個案例是2018年,中國攝影機供應商雄邁(Xiongmai)的軟體被發現有一個名為「tluafed」(反向默認)的無證後門用戶,可讀取數百萬台攝影機。
通過ZoomEye搜索引擎,能得到200萬的雄邁設備暴露在公開網路的資料,通過列舉(枚舉)雲端 ID,更能訪問約900萬雄邁設備;且該設備還存在著寫死(Hard Code,硬編碼)憑證和遠端代碼執行漏洞,若被利用傳播殭屍網路,將會對網路空間造成巨大危害。
該報告提及,據信,雄邁的攝影機漏洞與驅動攝影機的華為海思(HiSilicon)SoC晶片有關,該晶片為軟體開發庫提供一種雜湊函式(Hash function)。
據大陸知乎專欄作家寧南山統計,在網路監控攝影機(IP攝影機)的SoC晶片領域,華為海思是市場的霸主,中國60%以上的IP攝影機晶片都來自海思。在與IP攝影機配合的後段NVR設備的晶片方面,海思也占據了大部分市場。而在和類比攝影機配合的後段DVR晶片領域,華為海思同樣是中國市場霸主,在2014年就占到了中國市場的79%。
中共監控後門或擴大
報告寫道:「這些事件和其他事件都表明,中國(共)機構可能要求運往中國的設備設置後門,以協助其內部監控活動。當這些設備運往中國境外(銷售或使用)時,這些後門仍可用於洩露資訊(給中共機構)。」
報告指,如果中共政策要求在中國銷售的設備中,嵌入用於內部安全的後門,那麼應用於此一大市場的代碼,擴散到世界其他地方的風險將大增。
創新委員會的報告說:「我們只能推測這些安全漏洞被有意或無意地傳播,但如果中國(共)在5G設備市場上占據主導地位,無論是作為5G設備製造商,還是作為龐大而有吸引力的市場,都只會讓這種潛在漏洞繼續擴大,並使更大範圍的5G生態系處於風險之中。」
對含後門的進口產品徵稅
對於5G網路所面臨的風險,國防創新委員會建議:一、考慮供應鏈洩密的各種情況,例如中國製半導體元件和晶片組嵌入多個系統。國防部應考慮供應鏈洩密造成的更大影響,例如個人設備的風險及其相關資訊外洩風險。
報告建議,「如果中國(共)能蒐集這些數據,美國國防部應考慮採用離散(不連續)指令來抵禦這些超出傳統國防部系統和平台的漏洞。」
二、積極保護美國的技術智慧財產,減緩中國電信設備系統的擴張。報告建議,美國應利用出口管制來遏止西方供應商的市占率萎縮,即便此舉可能加快中國提高自給率。
三、為了應對這種威脅,國防部應提倡新的貿易政策指引:獎勵好的安全編碼產品,同時透過關稅懲罰有漏洞的產品。例如,美國自動對發現有後門或嚴重安全漏洞的任何國家的任何商品加徵高關稅,例如75%的稅率。
加徵關稅的做法一方面可以增加不安全因素的市場成本,另一方面可以激勵美國公司為安全研究人員提供資金,查找競爭對手產品中的漏洞,從而啟動關稅措施。這有助於「提高國防部生態系統的整體安全性」。
報告還提到,美國應鼓勵五眼和北約合作夥伴採用相同的關稅,無論產品來自哪個國家;同時,美國應繼續鼓勵夥伴國家確保自己的供應鏈安全,並拒絕接觸銷售5G商品的中國國有企業(SOEs)。
最後,報告建議,鼓勵財政部下的外國投資審查委員會(CFIUS),阻止外國有後門和安全漏洞紀錄的公司併購美國企業。◇