【新唐人2019年03月30日讯】3月28日,英国HCSEC监管委员会针对华为的安全风险发布研究报告,华为移动通信设备和系统存在“重大技术问题”。报告公布了华为9个方面的技术问题。
这个监管委员会由英国国家网路安全中心,GCHQ(英国情报机关)和其它机构人员组成,还包括华为的一位高级管理人员。
安全漏洞、软体设计问题“令人忧心”
这份46页的报告说,2018年共报告了几百个华为的安全和技术漏洞,“严重的而且是系统性的软体设计和网购安全问题。”
技术专家组检查了一个名为“eNodeB”的产品,一个提供网路和用户手机相连的部件。检查发现,更新版本的软体本应该更安全,“这款软体的基本设计和产品的网路安全质量仍然出现多个严重缺陷。”
报告中说,华为很差的软体工程和网路安全不光带来安全隐患,也带来质量问题。
HCSEC的一个技术小组就能发现的“安全漏洞的数量和严重程度,再加上结构和版本问题”,让人担心,如果有人掌握了这些弱点,就能乘虚而入,导致网路运行出问题。
报告举例说,可能是网路无法正常运作;入侵用户活动信息,攻击网路上的部件等。不过目前英国没有大面积发生这种事情,是因为“英国的运营商制约着黑客的入侵能力,使之不能和网路上任何没有暴露在公共领域的部件对话。”
华为操作系统即将到寿且无法升级
“持续使用依赖老旧软体的产品,给运营商招来被攻击的风险”。报告中说。
华为的网路设备很大部分已经过时,马上就要被淘汰的Wind River的VxWorks实时操作系统。华为专门购买了延长技术支持的合同,截止日期是2020年。
这个老旧系统使用的是被淘汰的单一用户、单内存空间构架,本身相当有安全隐患。报告中说,华为即使购买了延长技术支持,但“但单内存空间,单用户模式带来的网路安全风险没有改变”。而业界的正常规则是生产商必须及时升级和保持更新,“长期依赖这个操作系统,对英国来说是不可接受的,必须有升级的路径。”
HCSEC说,在发布这个报告时,华为还没有提供解决方案,也就是升级到一个能被支持的操作系统的方案,这给运营商带来巨大压力,因为必须做额外的大量工作来“减低安全风险”
华为自己的操作系统前途不明
2018年HCSEC的技术专家前往华为上海总部,讨论和理解华为的操作系统到寿及其它软体生命周期等问题。华为当时承诺,有意开发自己的操作系统,把即将到寿的操作系统转移到自己研发的操作系统上。
这份报告总结说,没有收到足够的证据,HCSEC没有信心相信,华为能开发出自己的长期可持续的操作系统。
报告中说,把目前的应用程序集成到一个更新的系统上,面临风险重重,而且还涉及到必须更新硬件。
被检查的源代码可能和使用的不一样
HCSEC的技术专家检查了华为的4款产品,发现无法确定被检查产品的源代码,会和被部署在英国的网路上的产品的源代码一模一样。
报告中说,很难有信心相信,“华为的类似产品会有大致相同的安全性”。
也就是说,无法确信一款产品上发现的安全漏洞,会在另一款产品的软体工程中解决。
华为承诺20亿改善安全性可能是空话
面对来自各方的安全指控,华为承诺在未来5年投资20亿元来改善软体设计程序,HCSEC表示,这20亿“目前只是预算的提议,还没有任何具体行动”。监管委员会需要看到计划的细节,才会相信这能带来改变。
新唐人记者刘海英多伦多报导