華為晶片「開後門」被抓包,錄影設備恐遭入侵。
日前,俄羅斯專家在一份調查報告指出,因安全問題而為人詬病的華為,旗下的海思(HiSilicon)晶片被發現仍留有「後門」,易導致各式監視錄影機、數位錄影機(DVR)及網路錄影機(NVR)遭有心人士入侵。
綜合外媒報導,身為俄羅斯硬體及資訊安全專家的亞馬克(Vladislav Yarmak),在近日發表調查報告提到,華為旗下的海思(HiSilicon)晶片仍留有「零日攻擊」(Zero-day)的漏洞,也就是俗稱的「後門」。
這款華為的海思晶片,多應用於數位錄影機(DVR)、網路錄影機(NVR)及網路監控攝影機(IP)等設備。這個漏洞的存在,也會讓有心人士趁虛而入,連接特定端口,並獲得最高存取權限,進而竊取影像資料及監視。
亞馬克在報告中也指出,這很像華為「一貫缺乏安全性」的設計問題。但也有其他專家認為,這樣的問題,常出現在特定的中國製設備中。
目前美國正在積極遊說歐盟各國,希望各國政府能重視安全問題,禁止華為參與5G網路基礎建設。而日前歐盟也通過不具約束力的新章程,讓會員國能限制或禁止使用華為設備;此外,英國也宣布將在非核心5G網路建設中,有限度的使用華為產品。
●Google Play 遭爆 24 款「惡意」App 來自中國
除了華為晶片被專家發現依然存在「後門」程式外,Google Play 也爆出 24 款「惡意」App,它們全來自中國同一家公司。
據《富比士》和資安公司「VPNpro」日前報導,一間來自中國的公司「Shenzhen Hawk」,在 Google Play共上架了 24 款惡意 App,這些 App 總共帶來了 3.82 億次的下載量。而為了避免被發現,這間稱作「Shenzhen Hawk」的公司,還分別採用了不同的開發者化名,藉此迴避調查。
儘管並不是 24 款中的全部 App 都同樣危險,但其中的一些 App 會要求使用者開放不合理的權限。例如其中的一款防毒 App,就會要求使用者提供 Android 手機的相機權限。如此一來,使用者可能被存取的資料,就包括 GPS 位置、外部的儲存內容、聯絡人和通話,甚至是使用者的網路活動。
而這些 App 一旦被安裝後,就會開始悄悄和惡意開發者使用的伺服器連線,並將資料傳回到中國境內。《富比士》認為,這些使用者可能受到的損害,輕則包括資料被用於網路行銷,重則能讓裝置自行登錄網站,甚至是安裝其它來歷不明的 App。
這些被點名的惡意 App 清單如下(括號內為目前下載量):
* Sound Recorder (100M)
* Super Cleaner (100M)
* Virus Cleaner 2019 (100M)
* File Manager (50M)
* Joy Launcher (10M)
* Turbo Browser (10M)
* Weather Forecast (10M)
* Candy Selfie Camera (10M)
* Hi VPN, Free VPN (10M)
* Candy Gallery (10M)
* Calendar Lite (5M)
* Super Battery (5M)
* Hi Security 2019 (5M)
* Net Master (5M)
* Puzzle Box (1M)
* Private Browser (500,000)
* Hi VPN Pro (500,000)
* World Zoo (100,000)
* Word Crossy! (100,000)
* Soccer Pinball (10,000)
* Dig it (10,000)
* Laser Break (10,000)
* Music Roam (1,000)
* Word Crush (50)
除了這些 App 之外,使用者在下載時,也應注意要開放權限給第三方 App 時,項目與功能目的是否有所關連,並避免下載來路不明的 App,即使這些 App 是被放在 Google Play 這類官方平台。