华为芯片“开后门”被抓包,录影设备恐遭入侵。
日前,俄罗斯专家在一份调查报告指出,因安全问题而为人诟病的华为,旗下的海思(HiSilicon)芯片被发现仍留有“后门”,易导致各式监视录影机、数位录影机(DVR)及网络录影机(NVR)遭有心人士入侵。
综合外媒报导,身为俄罗斯硬件及资讯安全专家的亚马克(Vladislav Yarmak),在近日发表调查报告提到,华为旗下的海思(HiSilicon)芯片仍留有“零日攻击”(Zero-day)的漏洞,也就是俗称的“后门”。
这款华为的海思芯片,多应用于数位录影机(DVR)、网络录影机(NVR)及网络监控摄影机(IP)等设备。这个漏洞的存在,也会让有心人士趁虚而入,连接特定端口,并获得最高存取权限,进而窃取影像资料及监视。
亚马克在报告中也指出,这很像华为“一贯缺乏安全性”的设计问题。但也有其他专家认为,这样的问题,常出现在特定的中国制设备中。
目前美国正在积极游说欧盟各国,希望各国政府能重视安全问题,禁止华为参与5G网络基础建设。而日前欧盟也通过不具约束力的新章程,让会员国能限制或禁止使用华为设备;此外,英国也宣布将在非核心5G网络建设中,有限度的使用华为产品。
●Google Play 遭爆 24 款“恶意”App 来自中国
除了华为芯片被专家发现依然存在“后门”程式外,Google Play 也爆出 24 款“恶意”App,它们全来自中国同一家公司。
据《富比士》和资安公司“VPNpro”日前报导,一间来自中国的公司“Shenzhen Hawk”,在 Google Play共上架了 24 款恶意 App,这些 App 总共带来了 3.82 亿次的下载量。而为了避免被发现,这间称作“Shenzhen Hawk”的公司,还分别采用了不同的开发者化名,借此回避调查。
尽管并不是 24 款中的全部 App 都同样危险,但其中的一些 App 会要求使用者开放不合理的权限。例如其中的一款防毒 App,就会要求使用者提供 Android 手机的相机权限。如此一来,使用者可能被存取的资料,就包括 GPS 位置、外部的储存内容、联络人和通话,甚至是使用者的网络活动。
而这些 App 一旦被安装后,就会开始悄悄和恶意开发者使用的服务器连线,并将资料传回到中国境内。《富比士》认为,这些使用者可能受到的损害,轻则包括资料被用于网络行销,重则能让装置自行登录网站,甚至是安装其它来历不明的 App。
这些被点名的恶意 App 清单如下(括号内为目前下载量):
* Sound Recorder (100M)
* Super Cleaner (100M)
* Virus Cleaner 2019 (100M)
* File Manager (50M)
* Joy Launcher (10M)
* Turbo Browser (10M)
* Weather Forecast (10M)
* Candy Selfie Camera (10M)
* Hi VPN, Free VPN (10M)
* Candy Gallery (10M)
* Calendar Lite (5M)
* Super Battery (5M)
* Hi Security 2019 (5M)
* Net Master (5M)
* Puzzle Box (1M)
* Private Browser (500,000)
* Hi VPN Pro (500,000)
* World Zoo (100,000)
* Word Crossy! (100,000)
* Soccer Pinball (10,000)
* Dig it (10,000)
* Laser Break (10,000)
* Music Roam (1,000)
* Word Crush (50)
除了这些 App 之外,使用者在下载时,也应注意要开放权限给第三方 App 时,项目与功能目的是否有所关连,并避免下载来路不明的 App,即使这些 App 是被放在 Google Play 这类官方平台。