中國華為公司產品資安一律引發全球關注,台灣政府單位為防範政府資安遭破壞,以逐步開始禁用中國電資通訊設備,行政院本月底將公布採購及使用中資產品的處理原則,擴大要求中央、地方公務員及國營事業員工禁用中國製科技產品,遭部分人士質疑,成功大學電機系教授李忠憲透過簡單分析,點出華為恐暗藏後門,背地收集使用者所有資料,等待機會合適就會傳回中國,更可長期駭客重要人士,取得更多有利資訊,他強調:「千萬不要貪小便宜買中國製的手機或智慧家電設備」。
政府單位欲禁用中國製的通訊產品,前工研院產經趨勢研究主任杜紫宸跳出來向政府喊話「why bother?」他以兩點說明,首先,如果他使用的是華為手機,但4G電信服務商是中華電信,手機要如何自我傳送資訊,中間透過中華電信,告知華為,他的動態、名錄和聯絡信息?他接著說到,假如個人通訊錄名稱是Nancy、Henry、David等普通名字,華為背後的中共國安部門又該如何辨別,他請求專家指點迷津。
對此,成大電機與通訊工程研究所教授李忠憲今在臉書上以「為什麼禁止華為等中國製手機」為主旨,指出華為背後的暗門,他舉例,如果是用華為手機,手機暗藏後門,因為只要有任何的網路連線,不管是中華電信、遠傳或台灣大哥大的4G服務,或是無線網路Wi-Fi等等下層的網路連線,手機上層的這些應用程式就可以利用下層網路隨時隨地傳送資料到中國的資料庫。
李忠憲表示,管理手機、終端設備與資通訊系統資安的人不會自找麻煩,若系統之內可做的事情,盡量不會去限制一般的用戶。那又為何要禁止像華為這樣中國製的手機在政府機關裡面使用?因為即使在機關裡面針對華為手機的用戶做嚴格的網路管控,在內網流量分析和利用資安設備管制後門所造成的可疑連線之後,這些手機一樣會在內網裡面收集資料,然後利用沒有管制像中華電信的商業用4G服務傳送到中國去。
至於華為背後的中共國安部門,要如何辨別通訊錄之中以Nancy、Henry、David等普通名字為名之人?李忠憲強調,駭客攻擊中有「進階持續性威脅」(APT),已出現10年,針對個人、特定組織進行複雜、多方位的網路攻擊,潛伏數週、數月甚至數年,將目標通訊過程、電郵內容、談話語音、影像紀錄等都經暗門傳送到中國資料庫,不僅可知道Nancy、Henry、David是誰,連使用者與誰吃飯、照相打卡都知悉,認為是重要人物更將重點處理。
李忠憲舉例,有名CEO等級的朋友在家中買了一個中國製的智慧家電,結果感覺自己網路變慢,經網路流量分析才發現,家中語音跟影像24小時無間斷送往中國,已過了好幾個月的透明人間生活。
成大教授李忠憲指出華為手機暗藏的後門,將使手機使用者的資料全曝光。 圖:翻攝自李忠憲臉書
