華為網站爆出漏洞 外界無法得知細節疑似封口安全研究人員

義大利安全廠商Swascan周日發佈消息稿指出，該公司在華為公司的基礎架構和Web應用發現有多項重大問題，之後的漏洞揭露顯示有些漏洞被列為重大層級，如果遭惡意攻擊者或網路罪犯利用，可能影響業務永續性、使用者資料和資訊安全，以及服務的正常作業。

Swascan研究人員上個月私下警告華為網站及線上服務有漏洞，而後這批可被利用的漏洞也悄悄被修補掉了。但是漏洞究竟出現在網站哪個地方，哪些資訊可能被竊或修改、可能影響華為哪部份營運，以及漏洞是否已經遭到入侵等等，則一切不得而知。因為Swascan被禁止深入討論，好似雙方簽定了保密條款一般。

當媒體進一步追問Swascan共同創辦人Pierguido Lezzi時，他則表示無法提供更多關於漏洞的細節，周日的新聞稿是因為直接獲得華為的許可而發出。

Swascan報告中，華為唯一允許公佈的是漏洞類別，包括越界(out-of-bounds)寫入、越界讀取及作業系統指令注入。但漏洞個數、修補的服務名稱、漏洞CVE編號、漏洞是否被利用、何時被修補等全數遭華為隱去。越界寫入漏洞通常是用於緩衝溢位(buffer overflow)攻擊，越界讀取則可用來竊取資訊或刺探軟體內部，指令注入明顯易懂。不過三者透露的資訊都太少。

很多公司都禁止安全人員談論私下揭露的漏洞，不只是華為。但是華為用戶眾多，而且顯然客戶資料及營運明顯出狀況，華為神祕兮兮的作法就值得商榷了。畢竟華為過去曾經有過漏洞修補不好的紀錄，而且其粗糙的軟體工程品質也曾遭抨擊。它是擔心漏洞修補不夠完全？還是怕有心人士伺機駭入？或是怕程式開發品管不佳被人笑？但是誰的軟體沒有漏洞呢？

當然也可能所有漏洞根本都不嚴重。既然如此華為為什麼事後噤聲不語？

這次事件時機相當敏感，因為華為的產品安全性及它和中國政府的密切關係遭到外界以放大鏡檢視。別忘了，中國對資訊掌控之嚴，連「小熊維尼」的字眼都會被過濾。華為堅持它的營運並不受制於北京政府。

美國政府以國家安全為由公開禁止使用華為產品，而且也要求盟國在4G及5G網路設備採購案中排除華為。

雖然川普和商務部都透露要解除華為禁令的意思，但在國安前提下，能開放到什麼地步以及解禁時間點都還是未知數。

Source: theRegister