【翻墙问答】听党话跟党走 国产硬体恐留后门 慎购免个资泄漏

2020-09-18
电邮
评论
Share
打印
2014年3月24日,北京华为专门店内,一名华为员工正在检查电话设备。(法新社)
2014年3月24日,北京华为专门店内,一名华为员工正在检查电话设备。(法新社)

问:近年有不少与硬体有关的漏洞事件,先有Bluetooth 4.0和5.0有中间人攻击漏洞,需要改用Bluetooth 5.1的硬体才能避免,接著有华为旗下海思半导体推出的晶片有漏洞,有可能令闭路电视录影系统的内容泄漏。为何近年接二连三有这类硬体保安漏洞事件发生?

李建军:很多人的概念中,保安漏洞是与软件有关,其实有不少与硬体有关。最经典的例子,是英特尔处理器的设计漏洞。

有部分保安漏洞可归类为设计漏洞,是硬体设计人追求硬体效能而造成。他们只顾追求加快速度,但忘记了黑客的不择手段,结果在硬体上留下了可以被黑客利用、能在未经授权下存取资料的保安漏洞。亦有部分设计漏洞,其实与保留向下兼容能力有关。譬如,早期的硬体设计,可能因技术或成本等限制,在保安设定上过于简单,而同时又要顾及到兼容旧设备或旧作业系统,于是这种带有保安漏洞的硬体一代传一代,最终衍生大问题。

只不过,亦有部分硬体的保安漏洞,有可能是生产的公司故意留下的「后门」。中国公司推出的硬件,近年备受西方国家政府质疑,其中有部分是因为中国公司的硬体设计习惯问题所引致,但亦有部分漏洞,怀疑是生产商配合中国当局而故意留下。因此,美国等国对中国公司推出硬件安全水平的质疑,并非无的放矢。而中共中央近日发出文件,要求民企必须跟党走听党话,民企的业务,必须要为中共的政治目标服务。这类政策只会加深西方国家的疑虑。而在民企必须跟党走的情况,如果这些民企生产的硬体出现一些不应该存在的漏洞,其实并不令人感到奇怪。因为中共著眼并非使用者个人或西方国家国民的资讯安全,他们的目的是蒐集资讯,藉此达到自己的政治目标。

问:面对硬体漏洞,用家是否只能通过升级硬件才可解决个资泄漏问题?

李建军:有部分硬体漏洞,其实可以藉软件来补救。透过升级软件,关闭部分功能,或增加一些检查程序,可以解决超过一半硬体漏洞问题。像英特尔处理器漏洞就是其中一个例子。只不过以软件堵塞漏洞的方法往往会令硬体本身的执行效能大打折扣。

也有些硬体漏洞,可以透过改变使用习惯去解决,像MacBook Thunderbolt的漏洞,唯一解决方法,就是不要让陌生人接触你的电脑。例如在外出公干时,不要将电脑留在酒店房间,包括酒店的夹万都不要考虑。将电脑随身携带,就是最有效解决问题的方法,直至你换新一代MacBook为止。刚才提及的Bluetooth蓝芽漏洞,其实都可以透过避免错误打开钓鱼信息等方法得到解决,直至你换新款硬体为止。

但面对因应中共政策下故意遗留的漏洞,你唯一可以做,就是避免购买或使用中国公司的产品才能解决——因为那些漏洞、后门是故意留下,厂商不会自行解决(包括不会在软件层面上提供解决方案)。甚至有可能当漏洞被发现,还要千方百计隐藏漏洞,以便继续进行偷窃资讯的个资蒐集行为,这个已经是政治问题,并非技术问题。这一如中国古语所讲,「非不能也,是不为也」。面对这种情况,你只能放弃你的硬体,并购买非中国公司推出,甚至并非中国制造的硬体,才能完满解决问题。

说到这里,大家或者能够明白,为何美国国务院对华为以至中兴通信的5G设备穷追猛打,因为这些公司的硬体一旦留有故意留下的漏洞,牵涉大量用户,电讯公司亦不一定能够解决,用户更加不可能解决。这个问题影响十分广泛,因此政府政策上的介入,几乎变成唯一的选择。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站