問:近年有不少與硬體有關的漏洞事件,先有Bluetooth 4.0和5.0有中間人攻擊漏洞,需要改用Bluetooth 5.1的硬體才能避免,接著有華為旗下海思半導體推出的晶片有漏洞,有可能令閉路電視錄影系統的內容洩漏。為何近年接二連三有這類硬體保安漏洞事件發生?
李建軍:很多人的概念中,保安漏洞是與軟件有關,其實有不少與硬體有關。最經典的例子,是英特爾處理器的設計漏洞。
有部分保安漏洞可歸類為設計漏洞,是硬體設計人追求硬體效能而造成。他們只顧追求加快速度,但忘記了黑客的不擇手段,結果在硬體上留下了可以被黑客利用、能在未經授權下存取資料的保安漏洞。亦有部分設計漏洞,其實與保留向下兼容能力有關。譬如,早期的硬體設計,可能因技術或成本等限制,在保安設定上過於簡單,而同時又要顧及到兼容舊設備或舊作業系統,於是這種帶有保安漏洞的硬體一代傳一代,最終衍生大問題。
只不過,亦有部分硬體的保安漏洞,有可能是生產的公司故意留下的「後門」。中國公司推出的硬件,近年備受西方國家政府質疑,其中有部分是因為中國公司的硬體設計習慣問題所引致,但亦有部分漏洞,懷疑是生產商配合中國當局而故意留下。因此,美國等國對中國公司推出硬件安全水平的質疑,並非無的放矢。而中共中央近日發出文件,要求民企必須跟黨走聽黨話,民企的業務,必須要為中共的政治目標服務。這類政策只會加深西方國家的疑慮。而在民企必須跟黨走的情況,如果這些民企生產的硬體出現一些不應該存在的漏洞,其實並不令人感到奇怪。因為中共著眼並非使用者個人或西方國家國民的資訊安全,他們的目的是蒐集資訊,藉此達到自己的政治目標。
問:面對硬體漏洞,用家是否只能通過升級硬件才可解決個資洩漏問題?
李建軍:有部分硬體漏洞,其實可以藉軟件來補救。透過升級軟件,關閉部分功能,或增加一些檢查程序,可以解決超過一半硬體漏洞問題。像英特爾處理器漏洞就是其中一個例子。只不過以軟件堵塞漏洞的方法往往會令硬體本身的執行效能大打折扣。
也有些硬體漏洞,可以透過改變使用習慣去解決,像MacBook Thunderbolt的漏洞,唯一解決方法,就是不要讓陌生人接觸你的電腦。例如在外出公幹時,不要將電腦留在酒店房間,包括酒店的夾萬都不要考慮。將電腦隨身攜帶,就是最有效解決問題的方法,直至你換新一代MacBook為止。剛才提及的Bluetooth藍芽漏洞,其實都可以透過避免錯誤打開釣魚信息等方法得到解決,直至你換新款硬體為止。
但面對因應中共政策下故意遺留的漏洞,你唯一可以做,就是避免購買或使用中國公司的產品才能解決——因為那些漏洞、後門是故意留下,廠商不會自行解決(包括不會在軟件層面上提供解決方案)。甚至有可能當漏洞被發現,還要千方百計隱藏漏洞,以便繼續進行偷竊資訊的個資蒐集行為,這個已經是政治問題,並非技術問題。這一如中國古語所講,「非不能也,是不為也」。面對這種情況,你只能放棄你的硬體,並購買非中國公司推出,甚至並非中國製造的硬體,才能完滿解決問題。
說到這裡,大家或者能夠明白,為何美國國務院對華為以至中興通信的5G設備窮追猛打,因為這些公司的硬體一旦留有故意留下的漏洞,牽涉大量用戶,電訊公司亦不一定能夠解決,用戶更加不可能解決。這個問題影響十分廣泛,因此政府政策上的介入,幾乎變成唯一的選擇。
0:00 / 0:00