华为(图片来源:Getty Images)
【看中国2019年7月9日讯】美国网路安全公司Finite State近日发布研究报告称,华为公司产品安全性较差,存在潜在的后门。华为随后连发三条推文提出异议,但Finite State首席执行长坚持其报告结果,“华为漏洞是广泛的,它们是真实存在的,且普遍存在于整个产品线中。”
Finite State总部位于俄亥俄州哥伦布市,该公司针对近1万个编入华为网路设备500多个变体中的固件映像进行了地毯式分析,发现超过一半包含至少一个可被利用的漏洞。固件是为计算机硬件组件提供动力的软件。
报告说,华为此前称设备及其固件的安全性能无法大规模测试的说法是错误的。分析显示,每个固件映像档平均有102个已知漏洞,而它们都是经过完整修补的,但漏洞隐藏在固件的第三方函式库;其中 2,692款固件含有CVE-2016-7055漏洞;29%的所有固件中至少有一个预设凭证;在8款固件中发现认证金钥档案;424款固件含SSH私钥;所有功能呼叫中,不到17%采用安全功能。
据《华尔街日报》报导, 该报告此前曾在川普(特朗普)政府的高级官员中广泛传阅,包括白宫、美国国土安全部、英国国家网路安全中心的高级官员,和美国议员。
华为连发三条推文对此提出异议,称该报告不完整、不准确、进行了选择性的测试。华为指责测试过程没有解释供应商、产品和版本的选择。并给出了华为的技术分析报告,以证明Finite State是错误的。
Finite State对华为的回应也进行了回击,称华为依然罔顾对共同安全原则的承诺。Finite State测试的几乎所有固件都是今年4月所能拿到的最新版本;Finite State表示,华为说将因该报告采取一些行动,包括删除至少一款设备上的嵌入式加密密钥,而这恰恰证实了Finite State的部分结论。
Finite State首席执行长怀克豪斯(Matt Wyckhouse)表示坚持其报告结果,“我们的立场仍然是,华为的漏洞是广泛的,它们是真实存在的,且普遍存在于整个产品线中。”