URL：https://www.wired.com/story/huawei-threat-isnt-backdoors-its-bugs

published：3/29/2019

received：3/30/2019 9:42:53 PM

translator：nana

華為的問題不是后門，而是軟件漏洞

華為

3月28日，英國政府某監(jiān)管機(jī)構(gòu)宣稱：中國電信設(shè)備制造商華為的產(chǎn)品代碼中包含底層基礎(chǔ)漏洞，可致安全風(fēng)險。該機(jī)構(gòu)發(fā)布的報(bào)告將這些缺陷歸咎于華為的軟件開發(fā)過程。報(bào)告在特朗普政府號召全球抵制華為產(chǎn)品(尤其是5G無線網(wǎng)絡(luò))的過程中發(fā)布，此前公眾的顧慮多為華為設(shè)備被中國政府控制，或者只要中國政府要求，華為就會破壞這些設(shè)備的安全防護(hù)。

盡管地緣政治分歧日漸激化，該報(bào)告的結(jié)論卻是華為代碼中的漏洞與基本工程能力和網(wǎng)絡(luò)安全防范有關(guān)，是任何人都可以利用的。報(bào)告并未作出這些漏洞是專門為中國政府所設(shè)后門的結(jié)論。這么廣泛的暴露面自然是有問題的——可被美國間諜機(jī)構(gòu)和五眼聯(lián)盟中任何一個國家的情報(bào)機(jī)構(gòu)利用，但白宮并不關(guān)心這個，只要華為有問題，不管什么問題都可以拿來大做文章。

戰(zhàn)略與國際研究中心“技術(shù)及公共政策項(xiàng)目”總監(jiān)，前國務(wù)院官員 James Lewis 稱：“沒有后門。因?yàn)槿A為不需要后門。這根本就是個大門。英國政府在處理中國黑客問題上一直很頭疼。這跟瑞典黑客每周闖入英國計(jì)算機(jī)系統(tǒng)盜取英國知識產(chǎn)權(quán)的問題還不一樣。如果華為是一家瑞典或者巴西的公司都還好說，但這家公司一直以來都被當(dāng)成中國政府的有力工具。”

2012年一份國會報(bào)告指出華為產(chǎn)品可造成潛在國家安全威脅后，大多數(shù)美國電信公司已經(jīng)禁用了華為設(shè)備。美國總統(tǒng)特朗普還真認(rèn)真考慮過發(fā)布總統(tǒng)令以全面禁止該公司的設(shè)備。但其他國家的網(wǎng)絡(luò)運(yùn)營商，包括英國的在內(nèi)，一直在努力安全地納入價廉物美的華為無線設(shè)備。英國甚至還在2010年設(shè)立了華為網(wǎng)絡(luò)安全評估中心，在華為設(shè)備出廠運(yùn)往美國前審計(jì)其軟件和硬件。

正是該中心的監(jiān)管委員會發(fā)布了這份報(bào)告。報(bào)告文檔中還提到，就連送審代碼是否真是華為產(chǎn)品實(shí)際運(yùn)行代碼都很難判斷。

某種程度上講，華為產(chǎn)品風(fēng)險評估中的挑戰(zhàn)與準(zhǔn)確審查專利軟件完整性這一行業(yè)性問題相關(guān)。報(bào)告中發(fā)現(xiàn)的一些系統(tǒng)性安全漏洞都相當(dāng)基礎(chǔ)，但安全分析師指出：此類審計(jì)可能揭開大多數(shù)公司產(chǎn)品中令人尷尬的疏漏，華為的失誤雖然嚴(yán)重，也不過是其中之一而已。

獨(dú)立網(wǎng)絡(luò)安全顧問，牛津大學(xué)技術(shù)與全球事務(wù)中心副研究員 Lukasz Olejnik 表示：“公司企業(yè)明顯不想讓安全審計(jì)曝出此類事情，所以他們都有內(nèi)部安全標(biāo)準(zhǔn)和品控?！?/p>

雖然報(bào)告并未作出華為產(chǎn)品包含惡意后門的結(jié)論，其發(fā)現(xiàn)的問題依然可能推進(jìn)白宮令美國及其盟友遠(yuǎn)離華為的舉動。近十年來，英國一直在嘗試將華為產(chǎn)品安全地引入其電信基礎(chǔ)設(shè)施，但該報(bào)告顯示，這些漏洞可能僅憑英國自身的能力無法緩解。

Olejnik說：“英國長期以來試圖將信任和間諜問題從技術(shù)層面上剝離，稱技術(shù)風(fēng)險是可控的，而且無論如何總會有某些風(fēng)險。但該報(bào)告的出臺，似乎破壞了此前英國管理華為風(fēng)險的能力保證?！?/p>

華為表示，正在強(qiáng)化工程工作流中的安全防護(hù)；并宣稱支持行業(yè)和國際監(jiān)管機(jī)構(gòu)間的協(xié)作，以確保全球電信網(wǎng)絡(luò)安全。3月28號的聲明中，華為稱：“《2019 HCSEC 監(jiān)管委員會報(bào)告》羅列了對華為軟件工程能力的一些擔(dān)憂。報(bào)告中發(fā)現(xiàn)的問題為我們正在進(jìn)行的軟件工程能力轉(zhuǎn)型提供了重要入口?！比A為承諾在工程改進(jìn)方面投入20億美元。

不過，做出重大改變的可能性不大。

報(bào)告下載鏈接：https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf