被揭漏洞遍及整個產品線 華為與美網安公司互嗆(圖)
華為(圖片來源:Getty Images)
【看中國2019年7月9日訊】美國網路安全公司Finite State近日發布研究報告稱,華為公司產品安全性較差,存在潛在的後門。華為隨後連發三條推文提出異議,但Finite State首席執行長堅持其報告結果,「華為漏洞是廣泛的,它們是真實存在的,且普遍存在於整個產品線中。」
Finite State總部位於俄亥俄州哥倫布市,該公司針對近1萬個編入華為網路設備500多個變體中的固件映像進行了地毯式分析,發現超過一半包含至少一個可被利用的漏洞。固件是為計算機硬體組件提供動力的軟體。
報告說,華為此前稱設備及其固件的安全性能無法大規模測試的說法是錯誤的。分析顯示,每個固件映像檔平均有102個已知漏洞,而它們都是經過完整修補的,但漏洞隱藏在固件的第三方函式庫;其中 2,692款固件含有CVE-2016-7055漏洞;29%的所有固件中至少有一個預設憑證;在8款固件中發現認證金鑰檔案;424款固件含SSH私鑰;所有功能呼叫中,不到17%採用安全功能。
據《華爾街日報》報導, 該報告此前曾在川普(特朗普)政府的高級官員中廣泛傳閱,包括白宮、美國國土安全部、英國國家網路安全中心的高級官員,和美國議員。
華為連發三條推文對此提出異議,稱該報告不完整、不準確、進行了選擇性的測試。華為指責測試過程沒有解釋供應商、產品和版本的選擇。並給出了華為的技術分析報告,以證明Finite State是錯誤的。
Finite State對華為的回應也進行了回擊,稱華為依然罔顧對共同安全原則的承諾。Finite State測試的幾乎所有固件都是今年4月所能拿到的最新版本;Finite State表示,華為說將因該報告採取一些行動,包括刪除至少一款設備上的嵌入式加密密鑰,而這恰恰證實了Finite State的部分結論。
Finite State首席執行長懷克豪斯(Matt Wyckhouse)表示堅持其報告結果,「我們的立場仍然是,華為的漏洞是廣泛的,它們是真實存在的,且普遍存在於整個產品線中。」