过去十年,中国制造商华为遭间谍指控,该品牌因上网设备为使用者带来潜在危险,备受谴责。资安专家Ben Finn为无国界记者(RSF)评估现状后撰写本文,为记者使用该品牌设备时如何自保提出相关建议。
近年来大家对中国品牌华为(全球最大的智慧型手机制造商)的上网设备带来的危险表示担忧,据闻这些设备内建后门,允许该公司甚至中国政府访问使用者资讯。虽然这部分至今未有确切的直接证据,但各种间接证据都表明,华为手机和作业系统确实对使用者隐私和安全构成威胁。
2016年,美国手机安全公司 Kryptowire(现为 Quokka)透露,华为手机等7 亿台设备被中国新创公司上海 Adups 科技公司编写的间谍软体故意感染。该软体每72小时将使用者的简讯、联络人清单和定位资讯副本传回位于中国的伺服器。
单2021年和2022年就有520个漏洞
英国政府为评估在该国广泛部署华为产品所造成的安全威胁,成立华为网络安全评估中心 (HCSEC)。该中心在2020年发表报告,表示发现至少一个影响「国家层面」的漏洞,并对华为坚持自己的编码道德标准表达担忧。报告还指出华为会有同一产品维持多种版本的现象,所以很难准确评估相关的安全漏洞。
安全风险网络存储库CVE Details光在2021年和2022年就记录到华为设备中的 520 个漏洞。这些漏洞很容易被骇客利用,华为使用者确实已成为恶意软体大规模攻击的受害者。
华为产品被多国政府禁止
2018 年,美国国家安全和情报机构负责人到参议院情报委员会作证,表示华为产品就算被一般公民使用也会构成危险。 2019年,时任美国总统川普将华为列入实体清单,禁止华为在美国境内开展业务,亦不得与在美国注册的任何实体有业务往来。
澳大利亚、纽西兰、日本和台湾等其他国家已决定在国内的行动网络中禁止、逐步淘汰华为产品,德国等其他国家则正在考虑跟进。
给记者的建议
有鉴于上述原因,我们建议记者考虑使用其他品牌,取代华为手机和上网设备,在中国工作时尤其需要,因为该国政府在国家科技公司积极协助下,对大众实施严格监控。如果记者万不得已必须使用华为设备,请务必铭记下列几点建议:
- 避免上传任何敏感资讯。
- 永远使用端到端加密服务。将敏感档案存在加密金库 (vault) 中,在非安全网络上网时,从头到尾都要打开VPN(虚拟私人网络)。
- 下载任何应用程式前务必仔细审查。请确认该应用程式在Google Play商店也有上架,并由同一发行商在Play Store和华为应用程式市场上架。
- 提防某些设备上可能预装的中国应用程式,例如中国政府政府赞助的学习大国,目前已有证据显示这些应用程式监控使用者。
- 定期更新您的手机。时时确保您的手机已更新并安装安全修补程式。
作者Benjamin Finn来自美国休士顿,在 IT领域已有十年资历,期间主要工作为协助大型企业部署内部资安工具,包含提升网络安全的措施。他致力于高压民族国家 (缅甸)提供安全培训。他也和数个台湾团体合作,为其进行资安和安全措施相关的培训。
