Vodafone 驚爆 10 年前就發現過華為網路設備藏後門

本周Vodafone集團向彭博新聞證實,曾在多年前華為賣到Vodafone義大利分公司的網路設備中發現漏洞。雖然Vodafone說問題已經解決,但此事恐怕將再次重創象徵中國科技實力的這家網路大廠形象。

近幾個月來華為陸續遭美國指控藐視伊朗制裁禁令、企圖竊取合作夥伴商業機密及在賣給西方國家的電信網路設備中協助中國政府間諜行動。

本周 Vodafone 集團向彭博新聞證實,曾在多年前華為賣到 Vodafone 義大利分公司的網路設備中發現漏洞。雖然 Vodafone 說問題已經解決,但此事恐怕將再次重創象徵中國科技實力的這家網路大廠形象。

10 年前發現漏洞存在

彭博新聞取得 Vodafone 2009 及 2011 年的安全簡報及知情人士報導,這家歐洲最大電信公司發現華為產品的軟體中有不為人知的後門,可讓它未經授權存取 Vodafone 提供義大利數百萬家庭及企業上網服務的固網。

文件顯示,Vodafone 在 2011 年要求華為移除家用路由器中的後門,也獲得華為保證,但是之後測試顯示這些安全漏洞仍然存在。要求不具名的消息人士表示,Vodafone 也在其用於光纖服務節點的部門固網設備及寬頻網路閘道器上發現後門。

後門在網路設備及軟體上很常見,因為開發商常為了管理方便而在設備中植入後門,但卻為攻擊者開了方便之門。Vodafone 文件指出,後門程式可能導致第三方單位存取用戶個人電腦和家用網路。

美國川普政府相信遭動手腳的華為設備可能讓中國政府進行間諜行為,因此極力遊說西方盟國不要用華為產品來建構 5G 網路。華為一再否認其產品有後門,也說自己不歸北京持有。

華為網路設備持續銷售

雖然有安全疑慮,但華為產品持續獲得 Vodafone 的合約,也重挫美國試圖防堵全球最大網路設備商及第二大智慧型手機商的企圖。在 5G 無線網路設備上,華為也是西方世界大廠諾基亞 (Nokia) 和愛立信 (Ericsson) 的挑戰者。

Vodafone 的訂單也讓歐洲在美、中兩大強權緊張情勢中成為華為第二大市場。Vodafone 執行長 Nick Read 多次公開反對在 5G 部署上禁用華為,警告會造成成本上升和部署時程延宕。而歐洲也有多個國家為了推動 5G 而甘冒抵抗美國之大不諱。

Vodafone 對彭博新聞發表聲明指出,該公司的確在 2011 年發現義大利的路由器有漏洞,但已在當年和華為聯手解決。並沒有證據顯示有任何資料被駭。Vodafone 也在 2012 年發現華為賣到義大利分公司的寬頻網路閘道有漏洞,但也解決了。Vodafone 另外也找到文件紀錄顯示華為多項與光纖服務節點有關的產品存在漏洞,問題也解決了,不過詳細時程不明。該公司並未發現義大利以外的寬頻網路閘道或路由器有漏洞的證據。

華為:這是設備漏洞,不是後門

「在電信產業中,電信業者或第三方單位經常在設備中發現漏洞,Vodafone 對安全極為重視,因此我們對產品進行獨立測試以偵測是否有漏洞。一旦發現漏洞,Vodafone 即迅速與供應商合作解決。」Vodafone 說。

而華為也對媒體發出聲明表示,2011 和 2012 年曾在產品中發現漏洞,但當時皆已解決。華為公司發言人說,網路設備內含和維護、診斷用途相關的瑕疵與漏洞很常見,因此華為在設備中藏後門的說法絕非事實。

價格與風險孰輕孰重?

然而 Vodafone 的說法遭到當時參與雙方會議的人士的駁斥。消息人士指出,路由器和固網中的弱點不但在 2012 年後還存在,而且出現在英、德、西班牙和葡萄牙的 Vodafone 網路中。Vodafone 之所以還堅持使用華為產品,因為華為的產品價格太有競爭力。

美國網路安全公司 Atredis Partners 首席研究顧問 Eric Evenchick 說,雖然家用路由器的漏洞並不少見,但是漏洞揭露時製造商通常也會著手修補。他說華為設備的情況「相當值得憂心」。

1987 年創立的華為於 2000 年進入歐洲市場。英國電信和挪威的 TeliaSonera 電信二張大單協助華為在歐洲站穩腳步,最終超越諾基亞和愛立信。

當初如何發現華為設備中的「後門」?

Vodafone 於 2008 年開始採購華為 Wi-Fi 路由器,先是義大利,之後擴及英、德、西、葡。Vodafone 很快就發現路由器上的漏洞。在 2009 年 10 月的內部安全簡報揭露有 26 個臭蟲,其中 6 個為「重大」,9 個是「重要」。Vodafone 的報告要求華為需移除或封鎖 telnet 服務,因為 Vodafone 擔心這個後門將讓華為存取客戶的敏感資料。

根據 2011 年 4 月的兩份文件,Vodafone 義大利分公司又對路由器進行更深入的調查。實施安全測試的外部業者認為這個 telnet 後門最危險,可能導致攻擊者未授權存取 Vodafone 廣域網路 (WAN) 的風險,此一 telnet「有未紀錄的功能」,是華為在未知會 Vodafone 情況下植入,包括一個「秘密 Telnet daemon 程式」,後者能讓知道有後門程式的人取得路由器管理員權限。Vodafone 說它了解路由器透過 telnet 管理設備是業界常態,不過該公司不允許這麼做。

文件顯示,Vodafone 義大利分公司從發現後門、要求華為移除後門,再獲得華為保證已解決問題,期間長達二個月。不過 Vodafone 事後測試發現這個 telnet 服務依然健在,並未依約移除。文件顯示,華為以製造需求為由拒絕完全移除後門,因為它需要 telnet 服務來設定裝置資訊、執行測試,但表示一切完成後就會關閉。

Vodafone 義大利當時的資訊安全長 Bryan Littlefair 在報告中指出,華為的政治背景讓它必須不斷證明自己的清白,而最令人介意的是華為先同意移除程式碼、之後試圖隱瞞,現在又為了「品質」理由而拒絕移除。

華為拒絕對 Littlefair 當時的疑慮做出回應。他本人也拒絕對此報導評論。

米蘭科技大學電腦安全副教授 Stefano Zanero 說,很難判定什麼是後門,大部份後門又常被設計成長得像是一個臭蟲。但是 Vodafone 2009 年和 2011 年報告中描述的漏洞卻具備後門所有特性:可否認性、提供存取和可在後續版本程式碼中重覆植入。

華為指出,和所有 ICT 廠商一樣,該公司擁有完善的漏洞公告及修補流程,當發現漏洞時,華為會和夥伴合作採取適當的修復措施。

華為和 Vodafone 的合作早已不只有路由器,現在已躍升 Vodafone 第 4 大供應商,超越蘋果、諾基亞和愛立信。華為設備已經廣泛用於 Vodafone 歐洲各地網路,在英國,華為設備已經掌握高達 1/3 的行動通訊接取網路的市場。

一些電信公司已經著手減少最敏感的網路區塊採用華為產品,同時政府也加強審查。1 月 Vodafone 執行長 Read 表示該公司的歐洲核心行動網路將暫停採購華為設備,因有太多「聲音」而不得不然。

不過 Vodafone 等電信業者仍不希望歐洲禁用華為,因為它們 4G 網路已高度仰賴華為,現在歐洲在 5G 推動已經落後中國和美國,一旦不用華為,則他們將被迫換掉華為的 4G 設備,這又得花上好幾年,還得增加幾十億美元的成本。

Source: Bloomberg

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416