過去十年,中國製造商華為遭間諜指控,該品牌因上網設備為使用者帶來潛在危險,備受譴責。資安專家Ben Finn為無國界記者(RSF)評估現狀後撰寫本文,為記者使用該品牌設備時如何自保提出相關建議。
近年來大家對中國品牌華為(全球最大的智慧型手機製造商)的上網設備帶來的危險表示擔憂,據聞這些設備內建後門,允許該公司甚至中國政府訪問使用者資訊。雖然這部分至今未有確切的直接證據,但各種間接證據都表明,華為手機和作業系統確實對使用者隱私和安全構成威脅。
2016年,美國手機安全公司 Kryptowire(現為 Quokka)透露,華為手機等7 億台設備被中國新創公司上海 Adups 科技公司編寫的間諜軟體故意感染。 該軟體每72小時將使用者的簡訊、聯絡人清單和定位資訊副本傳回位於中國的伺服器。
單2021年和2022年就有520個漏洞
英國政府為評估在該國廣泛部署華為產品所造成的安全威脅,成立華為網路安全評估中心 (HCSEC)。該中心在2020年發表報告,表示發現至少一個影響「國家層面」的漏洞,並對華為堅持自己的編碼道德標準表達擔憂。報告還指出華為會有同一產品維持多種版本的現象,所以很難準確評估相關的安全漏洞。
安全風險網路存儲庫CVE Details光在2021年和2022年就記錄到華為設備中的 520 個漏洞。這些漏洞很容易被駭客利用,華為使用者確實已成為惡意軟體大規模攻擊的受害者。
華為產品被多國政府禁止
2018 年,美國國家安全和情報機構負責人到參議院情報委員會作證,表示華為產品就算被一般公民使用也會構成危險。2019年,時任美國總統川普將華為列入實體清單,禁止華為在美國境內開展業務,亦不得與在美國註冊的任何實體有業務往來。
澳大利亞、紐西蘭、日本和台灣等其他國家已決定在國內的行動網路中禁止、逐步淘汰華為產品,德國等其他國家則正在考慮跟進。
給記者的建議
有鑑於上述原因,我們建議記者考慮使用其他品牌,取代華為手機和上網設備,在中國工作時尤其需要,因為該國政府在國家科技公司積極協助下,對大眾實施嚴格監控。如果記者萬不得已必須使用華為設備,請務必銘記下列幾點建議:
- 避免上傳任何敏感資訊。
- 永遠使用端到端加密服務。將敏感檔案存在加密金庫 (vault) 中,在非安全網路上網時,從頭到尾都要打開VPN(虛擬私人網路)。
- 下載任何應用程式前務必仔細審查。請確認該應用程式在Google Play商店也有上架,並由同一發行商在Play Store和華為應用程式市場上架。
- 提防某些設備上可能預裝的中國應用程式,例如中國政府政府贊助的學習大國,目前已有證據顯示這些應用程式監控使用者。
- 定期更新您的手機。時時確保您的手機已更新並安裝安全修補程式。
作者Benjamin Finn來自美國休士頓,在 IT領域已有十年資歷,期間主要工作為協助大型企業部署內部資安工具,包含提升網路安全的措施。他致力於高壓民族國家 (緬甸)提供安全培訓。他也和數個台灣團體合作,為其進行資安和安全措施相關的培訓。